昨日大事已實錘:淘某網12億數據泄露,攻擊者9個月獲利34萬
歡迎關注“新浪科技”的微信訂閱號:techsina
文/司馬子羽
來源/黑奇士(ID:hqssima)
昨天晚上,我寫了“網傳某頂級互聯網公司被拖庫,十億餘信息外泄”。
大家都在猜受害者是誰。現在,答案來了,淘某網。
但有幾點與傳言不同:
1、並非黑客入侵,而是爬蟲採集。
2、外泄數據數量巨大,將近12億條,包含了用戶ID、暱稱和手機號
3、持續時間爲2019年雙十一至2020年7月案發,淘某網向河南警方報警。(這個事是舊案)
4、攻擊者是做優惠券返利的,他們通過採集的12億條數據,加了1100個微信羣,每個羣90-200人,每天用機器人在羣裏發優惠券,賺取返利。
5、在攻擊持續時間內,淘客公司通過這些數據獲利34萬餘元。
都沒想到吧,我也沒想到。
原來大家猜拼兮兮的有,猜狗東的也有,甚至在上篇文章裏有幾位同學猜狼度。
這不,我也被打臉了,你們也被打臉了。
畢竟,在我們的印象裏,淘某網這種老牌巨頭比狗東狼度要靠譜的多,結果……他真是辜負了我們對他的信任。
下面,按照老規矩,我還是簡單講一下事情經過,並對其中一些涉及公衆利益的環節,進行點評。
持續時間長達9個月,小淘客做出大案子
根據嫌疑人逯某供述,他從2019年11月起,利用自己編寫的爬蟲軟件淘評評,通過淘某網的商品詳情頁和分享頁接口,爬取“用戶暱稱、數字ID和手機號”。
逯某受僱於淘客公司老闆黎某,爬取到數據之後,就會把其中的手機號發送給黎某,由黎某用微信機器人加爲好友,將其拉入到羣中,運營成“私域流量”。
經過長達9個月的運營之後,該公司擁有了大量的粉絲。
證人王某的證言證實,該公司約有1100個微信羣,每個微信羣最多有200人,最少約90人。該公司創建微信羣目的用於淘寶商品的推廣,從而獲得淘寶網佣金和商家服務費。
根據公司花名冊,該淘客公司分爲招商部、管理部、返利部等部門,共有包括黎某在內的員工32人。其中返利部在2019年11月至2020年8月,共獲利34萬餘元。
2020年8月14日,淘某網報警稱,有黑產通過訂單評價接口繞過平臺風控批量爬取加密數據,爬取字段量巨大,7月6日至7月13日之間平均每天爬取數量500萬。
爬取內容包括買家用戶暱稱,用戶評價內容,暱稱等敏感字段。經排查發現,逯某有重大作案嫌疑,作案地點在河南省商丘市某居民樓。
證人馬某證言證實,其系淘某網安全風控員,2020年7月13日,其在工作中發現,平臺的評價接口存在異常流量行爲,經排查後發現有黑產通過破解接口的形式進行加密數據的爬取,在2020年7月13日至2020年7月20日之間爬取了3500萬條數據。
這裏有個小小的點需要注意:馬某稱黑產通過“破解接口”,進行加密數據的爬取;淘某網稱,黑產通過訂單評價接口、“繞過風控系統”爬取加密數據;而嫌疑人逯某供述,“直接通過接口爬取”數據。
看到沒,三個來源三種說法。如果是“破解接口”,無疑是罪行最重的,這個屬於入侵淘某網系統,觸犯的是刑法286條,“破壞計算機信息系統罪”。而嫌疑人的供述,是爬蟲爬取,沒提“繞過、破解”,也就是沒對淘某網的系統進行增加、刪除、改變等行爲。
從法院最終的判決認定也可以看出,認定的是“侵犯公民信息罪”。(不要小看這點不同,刑法286條最高可判5年以上,而侵犯公民信息罪是3年以上7年以下,嫌疑人實際獲刑3年3個月和3年6個月,並未頂格處罰。如果認定了破壞計算機信息系統,嫌疑人就可能面臨高得多的刑期了)
電商老行業遇到新問題,爬蟲也要嚴厲打擊了!
事實上,從有電商那天起,爬蟲和反爬蟲的鬥爭就沒停止過。
那什麼是爬蟲?你可以把它想象成一個行爲跟你完全一樣的虛擬小人。你可以用自己的賬號登陸網站、查看網頁、發表評論……這些活他也可以幹。
而且你是肉人,你得喫一日三餐、你得喫喝拉撒,它不用,它有服務器就能跑,一天24小時不休息。
所以,爬蟲可以用來搶茅臺,可以用來搶機票,可以用來買顯卡,也可以用來發表評論罵人,這就是俗稱的“水軍機器人”。
2017年11月24日,北京市海淀區人民法院對上海某公司利用爬蟲抓取北京某公司服務器中存儲的視頻數據,造成該公司技術服務費損失2萬元。最終被告人被判9個月至1年不等的有期徒刑。
這個案子被媒體稱之爲爬蟲入刑第一案。
此案過後的數年中,相繼有人和公司因爲使用爬蟲不當而身陷囹圄,不由得讓人唏噓。
本來,從技術角度如何爬和反爬,可說的地方不少,但想了想,還是不得罪人了。
巨頭信息外泄,抓幾個淘客泄憤。我能說啥呢?
