昨日大事已实锤:淘某网12亿数据泄露,攻击者9个月获利34万

昨天晚上,我写了“网传某顶级互联网公司被拖库,十亿余信息外泄”。

大家都在猜受害者是谁。现在,答案来了,淘某网。

但有几点与传言不同:

1、并非黑客入侵,而是爬虫采集。

2、外泄数据数量巨大,将近12亿条,包含了用户ID、昵称和手机号

3、持续时间为2019年双十一至2020年7月案发,淘某网向河南警方报警。(这个事是旧案)

4、攻击者是做优惠券返利的,他们通过采集的12亿条数据,加了1100个微信群,每个群90-200人,每天用机器人在群里发优惠券,赚取返利。

5、在攻击持续时间内,淘客公司通过这些数据获利34万余元。

都没想到吧,我也没想到。

原来大家猜拼兮兮的有,猜狗东的也有,甚至在上篇文章里有几位同学猜狼度。

这不,我也被打脸了,你们也被打脸了。

毕竟,在我们的印象里,淘某网这种老牌巨头比狗东狼度要靠谱的多,结果……他真是辜负了我们对他的信任。

下面,按照老规矩,我还是简单讲一下事情经过,并对其中一些涉及公众利益的环节,进行点评。

持续时间长达9个月,小淘客做出大案子

根据嫌疑人逯某供述,他从2019年11月起,利用自己编写的爬虫软件淘评评,通过淘某网的商品详情页和分享页接口,爬取“用户昵称、数字ID和手机号”。

逯某受雇于淘客公司老板黎某,爬取到数据之后,就会把其中的手机号发送给黎某,由黎某用微信机器人加为好友,将其拉入到群中,运营成“私域流量”。

经过长达9个月的运营之后,该公司拥有了大量的粉丝。

证人王某的证言证实,该公司约有1100个微信群,每个微信群最多有200人,最少约90人。该公司创建微信群目的用于淘宝商品的推广,从而获得淘宝网佣金和商家服务费。

根据公司花名册,该淘客公司分为招商部、管理部、返利部等部门,共有包括黎某在内的员工32人。其中返利部在2019年11月至2020年8月,共获利34万余元。

2020年8月14日,淘某网报警称,有黑产通过订单评价接口绕过平台风控批量爬取加密数据,爬取字段量巨大,7月6日至7月13日之间平均每天爬取数量500万。

爬取内容包括买家用户昵称,用户评价内容,昵称等敏感字段。经排查发现,逯某有重大作案嫌疑,作案地点在河南省商丘市某居民楼。

证人马某证言证实,其系淘某网安全风控员,2020年7月13日,其在工作中发现,平台的评价接口存在异常流量行为,经排查后发现有黑产通过破解接口的形式进行加密数据的爬取,在2020年7月13日至2020年7月20日之间爬取了3500万条数据。

这里有个小小的点需要注意:马某称黑产通过“破解接口”,进行加密数据的爬取;淘某网称,黑产通过订单评价接口、“绕过风控系统”爬取加密数据;而嫌疑人逯某供述,“直接通过接口爬取”数据。

看到没,三个来源三种说法。如果是“破解接口”,无疑是罪行最重的,这个属于入侵淘某网系统,触犯的是刑法286条,“破坏计算机信息系统罪”。而嫌疑人的供述,是爬虫爬取,没提“绕过、破解”,也就是没对淘某网的系统进行增加、删除、改变等行为。

从法院最终的判决认定也可以看出,认定的是“侵犯公民信息罪”。(不要小看这点不同,刑法286条最高可判5年以上,而侵犯公民信息罪是3年以上7年以下,嫌疑人实际获刑3年3个月和3年6个月,并未顶格处罚。如果认定了破坏计算机信息系统,嫌疑人就可能面临高得多的刑期了)

电商老行业遇到新问题,爬虫也要严厉打击了!

事实上,从有电商那天起,爬虫和反爬虫的斗争就没停止过。

那什么是爬虫?你可以把它想象成一个行为跟你完全一样的虚拟小人。你可以用自己的账号登陆网站、查看网页、发表评论……这些活他也可以干。

而且你是肉人,你得吃一日三餐、你得吃喝拉撒,它不用,它有服务器就能跑,一天24小时不休息。

所以,爬虫可以用来抢茅台,可以用来抢机票,可以用来买显卡,也可以用来发表评论骂人,这就是俗称的“水军机器人”。

2017年11月24日,北京市海淀区人民法院对上海某公司利用爬虫抓取北京某公司服务器中存储的视频数据,造成该公司技术服务费损失2万元。最终被告人被判9个月至1年不等的有期徒刑。

这个案子被媒体称之为爬虫入刑第一案。

此案过后的数年中,相继有人和公司因为使用爬虫不当而身陷囹圄,不由得让人唏嘘。

本来,从技术角度如何爬和反爬,可说的地方不少,但想了想,还是不得罪人了。

巨头信息外泄,抓几个淘客泄愤。我能说啥呢?

(0)

相关推荐