2014年1月4日星期六

墙外楼: 支付宝内鬼泄密20G海量用户信息被盗卖

墙外楼
网络热门话题追踪 
2014 Benchmark Report

Learn the ecommerce metrics that matter.
From our sponsors
支付宝内鬼泄密20G海量用户信息被盗卖
Jan 4th 2014, 09:48, by 墙外仙

2013年11月27日,从事电商工作的张建因"涉嫌非法获取公民个人信息罪",而被杭州市公安局西湖分局刑事拘留,羁押于杭州市三墩镇振华路看守所。

  张建案发,由李明(音)牵出。李明系阿里巴巴旗下支付宝的前技术员工,其利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明伙同两位同伙,随后将用户信息多次出售予电商公司、数据公司。

  经阿里巴巴廉正部查悉,下载支付宝用户资料的行径或为李明所为,并在杭州报案。杭州警方以该市翠苑派出所为主体,将上述四人予以控制。犯罪嫌疑人张建系李明团伙的第一个"客户",其以500元的代价,从李明处购得3万条支付宝用户信息。

  据李明等供述,支付宝用户的最大买家系服装类电商公司凡客诚品,其花重金从李明团伙手中购得支付宝用户资料1000万条。不过,一位在李明被取保候审后与之有过接触的人士表示,"凡客诚品之说,仅仅是李明的供述,这不排除有作假的可能性,凡客诚品有无实际购买,最终应由警方认定。"1月2日晚间,凡客诚品一位副总裁向经济观察本报表示:"不太清楚这件事,没听说过。"公司公关总监焦宏宇表示,"如果警方需要,我们会积极配合。"

  支付宝方面则在承认确有内部员工盗卖用户信息案的同时,不愿发表更多意见。

  截至发稿,该案仍在侦破中,翠苑派出所负责刑事案件的知情警官陈伟(音)表示不便透露案件进展。目前,张建、李明等处于取保候审状态。1月2日晚,记者拨通张建电话,其表示在警方正式处理方案出来前,他不愿对此事再有提及。

 "内鬼"盗卖

  2010年,张建在杭州某公司从事电商工作,负责品牌运营和推广。因工作关系,结识了前支付宝员工李明,双方开始有了"生意"上的合作。在一次合作中,李明欠下张建500元人民币的酬劳。

  最终,这500元未发生实际支付,经双方协商,李明向张建提供3万条目标消费者信息作为"冲账"。也就是说,张建仅以"500元"为代价,就从李明处"购"得了3万条支付宝用户信息。

  张建所购的支付宝用户资料中,包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,从这些定位精准的用户信息中,张建掌握了目标消费群体的具体信息。

  张建是李明的第一个"主顾"。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。

  李明下载支付宝用户信息后,伙同两位阿里巴巴系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。据一位在李明被取保候审后与其有过接触的人士透露,李明团队对警方承认,支付宝用户信息被其团队多次出售给多家电商公司、数据公司,并从中获得了经济利益,其中最大的买家系凡客诚品,该公司曾一次性购买支付宝用户信息1000万条。

  1月2日晚间,凡客诚品一位副总裁向经济观察报表示,他对此案不清楚,也"没听说过"。凡客诚品公关总监焦宏宇亦表示她暂未听闻,问询过公司法务部门后,她向经济观察报表示:"我们暂时没接到警方的问询记录,如果警方有需要,我们会积极配合。"

  上述接近李明的人士强调称,"目前案件仍在侦查阶段,且犯罪嫌疑人亦不排除供述造假的可能性。凡客诚品是否实际发生过向李明团队购买支付宝用户信息的行为,最终需要警方的认定,警方的侦破对象中是否包括凡客诚品,也不得而知。就目前而言,不能武断地认为凡客诚品有购买支付宝用户信息的行为。"

  张建的案发,由李明供出,而将李明交给警方的,则是阿里巴巴的廉正部。该部门由律师、注册会计师和退役警察组成,旨在调查阿里巴巴内部是否存在违反公司纪律的情况。事实上,阿里巴巴在对待"内鬼"方面,一向是从不姑息。2012年初,阿里巴巴廉正部发现聚划算上一家团购业务指定运行商"爱婚婚"存在不正常交易,该公司仅上线8个月,就参加过聚划算200次以上的团购活动。调查后发现,该公司其实是由一位阿里云员工、一位淘宝网员工和一名聚划算员工合资组建的,故而其团购活动被"自己人"特意关照了。几名"内鬼"的过失被记在了聚划算总经理阎利珉的账上,后者因此被阿里巴巴免职。

  更早之前的2011年,马云针对公司CEO卫哲引咎辞职事件,在阿里巴巴内部邮件中表示:对于"触犯商业诚信原则和公司价值观底线的行为",不能有任何的容忍姑息。

  尽管是阿里巴巴自己报的案,但阿里巴巴系统内,大多数人对李明案都未曾听闻。一位支付宝内部的管理人员承认李明确实盗卖用户信息,但又强调,此案事发已有几年,且用户信息并未被大范围传播上网。

  阿里巴巴一位内部知情人士透露称,在阿里巴巴旗下诸公司内,员工等级不同,权限也不同,像李明这样大量下载用户资料为什么没有第一时间被监控到,直到3年后才被公司发现继而报案,他本人表示很难理解。"不得不承认,我们在管理上出了一些问题。"

  锦天城律师事务所合伙人、律师陈良认为支付宝员工盗卖用户信息,一方面是公司监控不力、管理漏洞,另一方面则非常"恐怖"。"首先是公民的个人财产安全,其次是公民个人的隐私安全,再次是公民个人的人身安全。社会上有很多的特殊人群,比如维权律师、调查记者等,他们由于工作需要,难免会做一些得罪人的事,如果他们的个人隐私比如家庭住址等被江湖仇家获悉,人身安全便难以得到保障;另有一些不太能见得光的职业,比如夜总会的小姐等,她们的个人信息若被别有用心的人掌握,即有可能会做出一些让她们不敢报案的威胁;再比如一些单位,出于商业的需要,也会从淘宝上购买大量礼品,如果其动向被竞争对手获悉,极有可能会带来不必要的麻烦。还有,支付宝的用户信息不同于其他网站的用户注册信息,包括公民个人的实名、身份证号码、手机、住址、支付宝余额、购物习惯等,有了这些信息,即有可能就此破译公民个人的网络密码,毕竟有很多网民,尤其是中老年网名,其网络密码就是生日。所以说,这件事很可怕。"

  截至发稿,案件仍在侦查中,具体操作此案的翠苑派出所并未透露案件进展,但张建、李明等已被取保候审。上述接近李明的人士表示,"就张建而言,涉案金额仅500元,情节不算严重。"

  对于像支付宝员工盗卖用户信息案,江苏一位网警也表示很无奈。"作为警方而言,目前此类案件只能往'非法获取公民个人信息罪'上靠,但此罪造成的影响很难被认定。公民个人信息被泄露,对于公民个人而言,究竟造成了多大的损失,很难被量化。在对犯罪嫌疑人的罪行认定中,警方目前一般是以犯罪嫌疑人贩卖信息的条数来认定情节严重与否。"

  1月2日晚间,取保候审在家的张建对本报表示,在警方正式处理意见出来前,他本人不愿再提及此事。

 隐秘产业链

  与张建从事类似品牌推广和运营工作的电商资深从业者徐巍,自己在淘宝网上也代理了几个内衣品牌的销售。在他看来,"做电商就是做数据!"

  据徐巍介绍,随着电商的发展,客户精准定位越发重要。大多数做电商的人,尤其是做到一定规模的人,都会购买数据。这些电商从业人员会选择一些付费的"情报工具",如由上海某公司开发的"情报通"。以情报通为代表的数据软件,主要通过搜索引擎、数据库等技术,对淘宝店进行数据分析,比如你店铺的竞争对手做了哪些直通车广告,用了哪些关键词,效果如何,以及行业分析、店铺分析、宝贝分析、买家搜索等,软件都可以提供。通过使用这类软件,电商从业人员可以获取竞争对手的数据,以作为调整营销策略和产品定位的参考依据。"我用的情报通,一年的年费是5万元,数据对电商而言,太重要了。"徐巍称,这些付费的数据软件固然重要,但依然无法企及消费者的个人信息资料。"举个例子,比如我是卖女性内衣的,如果我手上有一个数据库,得知喜欢在网上买内衣的女性消费者,她们购物的频次如何,价格区间如何,消费规律如何,喜欢什么品牌,等等,如果知道了这些信息,我就可以提炼出更多的信息,以调整店铺战略。如果再知道了她们的手机号码、电子邮箱、家庭住址等,我甚至还可以向她们定向群发短信、邮件、直邮DM等,她们都是精细化营销的潜在消费者!"

  徐巍称,作为电商从业人员,他最需要的就是这样的精细化数据,但苦于没有门路,只能退而求其次地付费使用情报通等数据分析软件。

  上述接近李明的人士表示,李明离职前从支付宝下载的数据多达20G以上,只要通过一些软件录入数据库再予以专业分析的话,基本上可以将所有支付宝、淘宝用户的消费习惯尽收眼底。"这些用户信息,都是可以带来钱的,可以变现的。"

  不过,上述支付宝内部人士表示,"我们也不知道这20多G具体是什么信息,甚至究竟有没有20G这么大,我们也不知道。"该支付宝人士还表示,李明团队所盗卖的数据,至被用于其个人牟利,目前还没有被他们传到网上,对社会不构成公共性的危害。

  尽管李明等盗卖的公民个人信息没有大面积被传至公众网络,但以锦江之星为代表的一批快捷连锁酒店的住客信息,在今年10月便被公开,甚至公民个人的开房信息等隐私,都在网上可被公开查询,甚至有人在美国新泽西州注册了一个网站,可供网民公开查询他人在锦江之星的入住记录。目前,国内用户已经无法访问该网站,但数据包依然在百度云可被公开下载至个人电脑。更早之前,京东商城、当当网的注册用户资料泄密事件,亦闹得沸沸扬扬。

  2013年11月,网上惊现一位出售真实QQ、微信用户资料的信息,信息内容高达90G,涉及8000万个微信群和15亿QQ用户,标价为400元。卖家宣称,其出售的资料囊括市场所有行业的最新最全的活跃QQ用户,同时已经按行业、产业、年龄、性别等分好类,还可以针对单个QQ、微信账户,查询到具体的姓名、年龄、社交网及从业经历等。腾讯在2013年11月21日发布公告称,用户资料泄密是2011年的问题,当时便已经进行了安全升级。淘宝网方面则接到了腾讯的协助请求,将网上贩卖资料的信息处理下架。

  上述网警介绍称,在电商领域,的确存在隐秘的客户资料黑色产业链,在"黑市"中,用户资料的价格按照"行规"是以文件大小来销售的,打包文件大部分是上百兆的大小,含有几千条信息,一般价格是几万元不等。其中,最值钱的是电商的用户资料,可以按条数来卖,一个经过精细分析的"数据包"甚至可以叫价百万元以上。买家的目的各自不一,有人是用以信息诈骗,有人是买断竞争对手的全部用户资源,有人则是为了给目标客户发送广告。"这种产业链主要集中在电子商务发达的地区,比如杭州、上海、深圳等地。"

  浙江大学新闻传播学院的网络传播学者副教授汪凯认为,"中国法律上对于公民个人隐私权的保护一直都比较薄弱。以往谈及公民个人隐私,常常与名誉权一并被提及,但在电子商务发展迅猛的当下,隐私权其实已经成为了一种产权和一种精神财富,尤其是消费隐私。有谁愿意自己何年何月何日何时花了多少钱偷偷买了一盒事后紧急避孕药被天下皆知呢?"

  汪凯表示,防范电商再出用户资料泄密事件,除了电商公司积极开展商业伦理教育,建立内部稽查部门及时监控外,国家层面还根据新时代的新变化,出台相关法规,对公民网络隐私予以明确界定,并加大网络获取、公开、买卖公民个人隐私等新犯罪形态的打击力度。

  陈良亦表示,国家层面对隐私权的重新界定,在网络时代更应该有"新的说法",司法体系也应该加大对利用公民网络隐私从事牟利行为的打击力度。

本文免翻墙链接:谷歌镜像 | 亚马逊镜像

Shop Amazon's New Kindle Fire

相关日志

You are receiving this email because you subscribed to this feed at blogtrottr.com.

If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions

没有评论:

发表评论