手握阿里研究院、达摩院，阿里巴巴竟败给了一个本科生

文丨BT财经 AWM

加微信送礼品、邀请刷单获现金......

你有收到过类似的信息吗？如果有，你的个人信息有可能被泄露了。

近日，商丘市睢阳区人民法院公开了一份刑事判决书，一名住在商丘市的本科毕业大学生，通过爬虫盗取超过11.8亿条淘宝用户信息。该盗取行为长达八个月后，阿里巴巴才注意到这一问题。

手握阿里研究院、对标全球的达摩院，阿里巴巴竟在网络安全领域竟然败给了一个本科生？

淘宝败给了本科生

盗取行为是如何发生的呢？

据嫌疑人逯某供述，2017年7月，其在一个QQ群里认识了做"淘宝客"的黎某，当时黎某需要一些"淘宝客"软件，逯某没收黎某钱，给黎某编了个"微信加入"的软件，算技术入股。

2019年3月，黎某成立了一家公司，逯某作为技术人员，在家远程办公，每月领取1万元的报酬。同年11月，逯某开始用自己开发的爬虫软件"淘评评"，通过淘宝商品信息接口和信息分享接口，爬取淘宝客户信息，包括用户的ID、昵称，甚至手机号。其中爬取客户手机号码的信息，逯某都提供给黎某，ID和昵称，逯某存在了自己电脑，没有外泄。

黎某收到手机号码后，把信息导入"微信加入"的软件，微信好友添加成后，就拉入建好的微信群，每天利用机器人在群里发放淘宝优惠券，有淘宝用户在该群里购买商品后，公司就会通过抽成获利，在短短8个月内就获利34万余元。

8个月逯某爬取的信息多达5000多万条，并从其他地方下载了11亿多条数据。直到2020年8月，淘宝报警，在2020年7月6日到7月13日，有黑产人员通过接口，绕过平台风控，平均每天爬取500万条信息。

据悉，逯某只是个本科毕业生，前后获利七八万元。

对此，阿里巴巴声明称，这些客户数据还没有被出售，阿里巴巴的用户也没有因此而蒙受经济损失。

这已经不是阿里巴巴生态中的信息第一次被盗。

早在2019年5月，阿里妈妈在进行违规排查中发现，有部分"淘宝客"在无线APP端未经授权爬取淘宝购物车、收藏夹等信息并进行恶意宣传推广。与此同时，包括叮当叮当、返钱宝宝、羊毛省钱等43个APP在这次专项治理中被发现违规。

行业没有清白者

其实，不止淘宝，京东也多次发生类似案件。

2013年，2300多个京东商城账户被盗刷，涉案的四人只有小学或者初中文化水平。

2011年，有黑客盗取多家互联网用户的信息，涉及资料信息超过5000万条，泄露的信息资料包括但不限于网易邮箱、QQ邮箱、人人网信息、京东的资料信息等，嫌犯获取京东商城客户数据后，还进行了盗刷行为。同期，天涯社区论坛用户数据泄漏条数多达4000万条。

当时的信息泄漏还产生了巨大的"蝴蝶效应"，2016年，只因2013年Struts 2的一个安全漏洞，京东一个12G的数据包外泄，数据包括用户名、密码、邮箱、qq号、电话甚至身份证，数据多达数千万条。

2017年，京东还举报尚处于试用期的京东网络工程师郑某鹏，称其系黑产团伙的重要成员，涉案信息泄露条数高达50亿条。

关于信息泄漏，百度、腾讯、新浪、携程等互联网公司无一幸免。2021年4月，Facebook还指责恶意行为者泄露了超过5.3亿用户的姓名和电话号码。

数据泄露如此猖獗，"黑客"功不可没，为了盗取用户信息，黑产数据玩家甚至还会卧底目标公司、策反员工等手段，惊险程度堪称"谍战片"。

这些人明明有技术，却做黑产，主要因为黑产的利润实在太高了，每条信息甚至能达到1.5元，1万条就能赚15000元，而且这些数据可以重复卖，一直卖，堪称一本万利的"万金油"。盗取数据猖獗，目前很多公司数据安全还处于行政法规推动阶段，对数据安全的投资并没有明显的增加。

企业无计可施，政府法规已经箭在弦上。将于今年9月1日生效的《中华人民共和国数据安全法》显示，监管机构有权关闭或罚款处理不当"国家核心数据"的科技公司，单位罚款金额最高1000万元，负责人员罚款金额最高100万元。

另外，立法机关正在起草的个人信息保护法，预计将于今年通过。期待相关法规会给相关企业警示作用，使其重视公民信息安全。

欢迎关注【BT财经】，阅读更多精彩内容。

版权所有，禁止私自转载！如涉及侵权，请联系删除

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

风险提示：本文所提到的观点仅代表个人的意见，所涉及标的不作推荐，据此买卖，风险自负。