无线淘宝客(淘宝客在线)

(原标题:11.8亿！淘宝又有大数据泄露案例:客户ID，淘宝昵称，手机号都有…)

你有没有收到过加微信送礼物的消息，或者邀请单？如果是这样，那么你的个人信息可能已经被泄露了...

近日，商丘市睢阳区人民法院在裁判文书网公布了一份刑事判决书，显示河南省商丘市一名毕业的大学生，自2019年11月起，爬淘宝长达8个月，窃取大量用户数据。在阿里巴巴注意到这个问题之前，已经有超过11.8亿条用户信息被泄露。

而被盗的11.8亿条数据都做了什么？真相是，另一个家住湖南省浏阳市、初中才毕业的李，利用这些信息建了1100个微信群，每个群90-200人。每天机器人在群里发淘宝优惠券，赚取返利，短短8个月获利34万余元。

到底发生了什么？

相隔千里的两个人是如何联手制造出这起惊天大案的？

被告人邱某交代，其于2017年7月在QQ群里认识了李某。李某当时在做“淘宝客”，需要一些“淘宝客”软件。他给李某编了一个“微信加人”的软件，他没收钱。李某答应把他的技术算作股份，以后成立公司再跟我算这笔钱。

2019年3月，李某成立名为“浏阳泰创网络科技”的公司，邹某成为该公司技术人员。他在家远程工作，月薪一万元。

2019年11月，邹开始使用自己研发的爬虫软件“淘宝评价”，通过淘宝商品详情界面和淘宝信息共享界面抓取淘宝客户的淘宝数字ID和淘宝昵称，淘宝客户的手机号码信息可通过淘宝共享界面抓取。

其中，将被爬取的客户手机号码信息提供给李某，将被爬取的淘宝客户ID和淘宝昵称存储在自己的电脑硬盘中，未提供给李某并泄露。

而李某则会在收到淘宝客户的手机号后，将信息和数据导入“微信加”软件。添加微信好友成功后，将他拉入已建立的微信群，公司内的员工负责发送广告链接。淘宝用户在公司微信群里购买商品后，公司会获得提成。

就这样神不知鬼不觉地持续了8个多月，来回抓取了5000多万条信息，从其他地方下载了11亿多条数据。直到2020年8月14日，淘宝(中国)软件有限公司举报称，2020年7月6日至2020年7月13日，有黑工通过接口绕过平台风控，批量抓取数据。7月6日至7月13日期间，平均每天抓取次数为500万次，抓取内容包括买家用户昵称、用户评价内容、昵称等敏感信息。

最终，邹和李被河南警方抓获。经公开检查，共有数字身份证、淘宝昵称、手机号等淘宝客户信息1180738048条。是通过电脑开发的软件从电脑上抓取的。

值得注意的是，被告人邹称，11.8亿的数据以微信文件的形式发给李后，李会转一笔费用给他，总共获利只有六七万元。

涉及恶意抓取淘宝数据淘宝联盟已点名43款违规app

这已经不是淘宝第一次被恶意抓取淘宝数据了。

2019年5月，阿里妈妈在非法调查过程中，发现部分淘宝客非法抓取淘宝购物车、收藏夹等。在无线APP上，并在淘宝客做了恶性宣传推广。该行为严重违反了《淘宝客应用开发者守则》第九条:开发者不得以任何形式抓取任何淘宝数据；违反《阿里妈妈推广人守则》第八条，流量劫持。

此次专项治理共发现粉象生活、省钱快递、羊毛省钱、还钱宝贝、喵喵喵、叮当叮当等43款违法app。

事实上，这种情况不仅发生在淘宝上，2013年在JD.COM也发生过。数据泄露包括密码、手机号码、电子邮件地址和用户名。

今年4月，脸书指控“恶意行为者”泄露超过5.3亿用户的姓名和电话号码等数据。

第三方大数据公司“人人都有风险”

众所周知，网络爬虫技术原本是指平台按照一定的规则从互联网上自动提取网络信息的程序或脚本，是互联网行业常用的技术之一。爬虫技术广泛应用于各个领域，如大数据分析、舆情检测等。，法律从未明确禁止。

然而，合法的数据源是网络爬虫合法活动的前提。如果依据《网络安全法》第四十一条，未经被采集人同意而自动采集个人信息的，技术使用者涉嫌构成侵犯公民个人信息罪、非法侵入计算机信息系统罪或者非法获取计算机信息系统数据罪等相关犯罪。

2019年，多家第三方大数据公司因利用爬虫技术非法获取并存储公民个人信息被纳入调查范围。

其中最著名的就是魔蝎科技。2019年9月6日，多名业内人士称，魔蝎科技疑似被相关执法人员控制，其中一名周姓核心高管被警方带走。

2021年1月14日，杭州市西湖区人民法院对蝎蛉科侵犯公民个人信息案作出一审判决。法院认为，蝎子科技以其他方法非法获取公民个人信息，情节特别严重，其行为已构成侵犯公民个人信息罪。

法院判决魔蝎科技犯侵犯公民个人信息罪，并处罚金人民币3000万元；法定代表人、总经理周犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金人民币五十万元；技术总监袁犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币三十万元。

法院查明，魔蝎科技将其前端插件嵌入网贷平台App。网贷用户在使用网贷平台的App借款时，需要在魔蝎科技提供的前端插件上输入其通信运营商、社保、公积金、淘宝、JD.COM、Xuexin.com、征信中心等网站的账号和密码。在用户授权后，魔蝎科技的爬虫程序会代替用户进入其个人账户，利用各种爬虫技术在上述企事业单位网站上抓取(复制)贷款用户个人账户的通话记录、社保、公积金等数据，并根据与用户的约定提供给网贷平台用于判断用户的信用状况，从网贷平台获取每笔0.1元至0.3元不等的费用。

虽然魔蝎科技在与个人贷款用户签订的数据采集服务协议中明确表示“不会保存用户的账户密码，每次只有在用户个人授权的情况下才会采集信息”，但其仍然在服务器上使用技术手段长期保存各类用户账户和密码。截至2019年9月案发时，有超过2000万个人贷款用户的各种账号和密码被以明文形式非法保存。

根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供轨迹信息、通信内容、信用信息、财产信息50条以上的，构成犯罪。

2019年9月前后，陆续有多家数据公司被调查，除了魔蝎科技，还有聚信利、欣彦科技、工信宝、同盾等。

于是，业内慢慢出现了一句顺口溜:“一个爬虫玩得好，早进监狱。数据溜，监狱饭够吃。”

天网恢恢，疏而不漏。与上述案件一样，邱虽辩称其仅为公司业务活动向李提供部分手机号码，但在共同犯罪中未起次要、辅助作用，不是从犯。

但法院仍认为，被告人邱某受雇于被告人李某，两人均违反国家规定，非法获取公民个人信息。情节特别严重，其行为已构成侵犯公民个人信息罪。公诉机关指控其有罪，系共同犯罪。

故判决被告人李某犯侵犯公民个人信息罪，判处有期徒刑三年六个月，并处罚金人民币35万元；被告人犯侵犯公民个人信息罪，判处有期徒刑三年三个月，并处罚金人民币十万元。