支付宝“内鬼”泄密被刑拘 下载超过20GB用户资料

  • 日期:11-23
  • 点击:(687)


2013年11月27日,从事电子商务工作的张謇因“涉嫌非法获取公民个人信息”被杭州市公安局西湖分局拘留在杭州三墩镇振华路拘留中心 张謇的案子是由李明领导的 阿里巴巴支付宝前技术员工李明利用自己的工作优势,在2010年多次以该公司为背景下载支付宝用户的信息,信息内容超过20G。 李明和两个同事随后几次向电子商务公司和数据公司出售用户信息。

经阿里巴巴诚信部调查,杭州报道了下载支付宝用户数据的行为或李明的行为 杭州警方以全市翠园派出所为主体,控制了上述四人。 嫌疑人张健是李明团伙的第一个“顾客”。他花500元从李明那里购买了3万条支付宝用户信息。

根据李明等人的声明,支付宝用户的最大买家是服装电子商务公司万科诚品,该公司花了很多钱从李明的团伙那里购买了1000万支付宝用户数据。 然而,一名在被保释候审后与李明有过接触的人表示,“凡客诚品的声明只是李明的声明,并不排除欺诈的可能性,凡客诚品是否真的购买了它最终应由警方决定。” 1月2日晚,凡客诚品副总裁告诉《经济观察报》,“我对此知之甚少,也没听说过。” “如果警方需要,我们会积极配合,”该公司公共关系总监焦宏宇表示。 "

另一方面,支付宝不愿意给出更多的意见,同时承认存在内部员工窃取和出售用户信息的情况。

截至新闻稿,此案仍在调查中。翠园派出所负责刑事案件的警官陈伟表示,披露案件进展情况不方便。 目前,张謇和李明正在取保候审。 1月2日晚,记者拨通了张謇的电话,称在警方提出正式解决方案之前,他不会再提及此事。 2010年,张謇在杭州一家电子商务公司工作,负责品牌运营和推广 因为工作关系,我遇到了前支付宝员工李明,双方开始有了“业务”合作。 在一次合作中,李明欠张健500元人民币。

最后,500元没有实际付款。经过协商,李明向张謇提供了3万条目标消费者信息作为“冲销” 换句话说,张謇以“500元”的代价从李明那里“购买”了3万条支付宝用户信息

张謇购买支付宝的用户信息,包括个人的真实姓名、手机、电子邮件、家庭住址和消费记录。从这些准确定位的用户信息中,张謇掌握了目标消费群体的具体信息

张謇是李明的第一个“顾客” 李明是支付宝的一名技术员工,他多次利用自己的工作从支付宝后台下载用户信息。 根据他对警方的陈述,下载的信息容量超过20G。

张建的案发,由李明供出,而将李明交给警方的,则是阿里巴巴的廉正部。该部门由律师、注册会计师和退役警察组成,旨在调查阿里巴巴内部是否存在违反公司纪律的情况。事实上,阿里巴巴在对待“内鬼”方面,一向是从不姑息。2012年初,阿里巴巴廉正部发现聚划算上一家团购业务指定运行商“爱婚婚”存在不正常交易,该公司仅上线8个月,就参加过聚划算200次以上的团购活动。调查后发现,该公司其实是由一位阿里云员工、一位淘宝网员工和一名聚划算员工合资组建的,故而其团购活动被“自己人”特意关照了。几名“内鬼”的过失被记在了聚划算总经理阎利珉的账上,后者因此被阿里巴巴免职。

更早之前的2011年,马云针对公司CEO卫哲引咎辞职事件,在阿里巴巴内部邮件中表示:对于“触犯商业诚信原则和公司价值观底线的行为”,不能有任何的容忍姑息。

尽管是阿里巴巴自己报的案,但阿里巴巴系统内,大多数人对李明案都未曾听闻。一位支付宝内部的管理人员承认李明确实盗卖用户信息,但又强调,此案事发已有几年,且用户信息并未被大范围传播上网。

阿里巴巴一位内部知情人士透露称,在阿里巴巴旗下诸公司内,员工等级不同,权限也不同,像李明这样大量下载用户资料为什么没有第一时间被监控到,直到3年后才被公司发现继而报案,他本人表示很难理解。“不得不承认,我们在管理上出了一些问题。”

锦天城律师事务所合伙人、律师陈良认为支付宝员工盗卖用户信息,一方面是公司监控不力、管理漏洞,另一方面则非常“恐怖”。“首先是公民的个人财产安全,其次是公民个人的隐私安全,再次是公民个人的人身安全。社会上有很多的特殊人群,比如维权律师、调查记者等,他们由于工作需要,难免会做一些得罪人的事,如果他们的个人隐私比如家庭住址等被江湖仇家获悉,人身安全便难以得到保障;另有一些不太能见得光的职业,比如夜总会的小姐等,她们的个人信息若被别有用心的人掌握,即有可能会做出一些让她们不敢报案的威胁;再比如一些单位,出于商业的需要,也会从淘宝上购买大量礼品,如果其动向被竞争对手获悉,极有可能会带来不必要的麻烦。还有,支付宝的用户信息不同于其他网站的用户注册信息,包括公民个人的实名、身份证号码、手机、住址、支付宝余额、购物习惯等,有了这些信息,即有可能就此破译公民个人的网络密码,毕竟有很多网民,尤其是中老年网名,其网络密码就是生日。所以说,这件事很可怕。”

截至发稿,案件仍在侦查中,具体操作此案的翠苑派出所并未透露案件进展,但张建、李明等已被取保候审。上述接近李明的人士表示,“就张建而言,涉案金额仅500元,情节不算严重。”

对于像支付宝员工盗卖用户信息案,江苏一位网警也表示很无奈。“作为警方而言,目前此类案件只能往‘非法获取公民个人信息罪’上靠,但此罪造成的影响很难被认定。公民个人信息被泄露,对于公民个人而言,究竟造成了多大的损失,很难被量化。在对犯罪嫌疑人的罪行认定中,警方目前一般是以犯罪嫌疑人贩卖信息的条数来认定情节严重与否。”

1月2日晚间,取保候审在家的张建对本报表示,在警方正式处理意见出来前,他本人不愿再提及此事。

隐秘产业链

与张建从事类似品牌推广和运营工作的电商资深从业者徐巍,自己在淘宝网上也代理了几个内衣品牌的销售。在他看来,“做电商就是做数据!”

据徐巍介绍,随着电商的发展,客户精准定位越发重要。大多数做电商的人,尤其是做到一定规模的人,都会购买数据。这些电商从业人员会选择一些付费的“情报工具”,如由上海某公司开发的“情报通”。以情报通为代表的数据软件,主要通过搜索引擎、数据库等技术,对淘宝店进行数据分析,比如你店铺的竞争对手做了哪些直通车广告,用了哪些关键词,效果如何,以及行业分析、店铺分析、宝贝分析、买家搜索等,软件都可以提供。通过使用这类软件,电商从业人员可以获取竞争对手的数据,以作为调整营销策略和产品定位的参考依据。“我用的情报通,一年的年费是5万元,数据对电商而言,太重要了。”徐巍称,这些付费的数据软件固然重要,但依然无法企及消费者的个人信息资料。“举个例子,比如我是卖女性内衣的,如果我手上有一个数据库,得知喜欢在网上买内衣的女性消费者,她们购物的频次如何,价格区间如何,消费规律如何,喜欢什么品牌,等等,如果知道了这些信息,我就可以提炼出更多的信息,以调整店铺战略。如果再知道了她们的手机号码、电子邮箱、家庭住址等,我甚至还可以向她们定向群发短信、邮件、直邮DM等,她们都是精细化营销的潜在消费者!”

徐巍称,作为电商从业人员,他最需要的就是这样的精细化数据,但苦于没有门路,只能退而求其次地付费使用情报通等数据分析软件。

上述接近李明的人士表示,李明离职前从支付宝下载的数据多达20G以上,只要通过一些软件录入数据库再予以专业分析的话,基本上可以将所有支付宝、淘宝用户的消费习惯尽收眼底。“这些用户信息,都是可以带来钱的,可以变现的。”

不过,上述支付宝内部人士表示,“我们也不知道这20多G具体是什么信息,甚至究竟有没有20G这么大,我们也不知道。”该支付宝人士还表示,李明团队所盗卖的数据,至被用于其个人牟利,目前还没有被他们传到网上,对社会不构成公共性的危害。

尽管李明等盗卖的公民个人信息没有大面积被传至公众网络,但以锦江之星为代表的一批快捷连锁酒店的住客信息,在今年10月便被公开,甚至公民个人的开房信息等隐私,都在网上可被公开查询,甚至有人在美国新泽西州注册了一个网站,可供网民公开查询他人在锦江之星的入住记录。目前,国内用户已经无法访问该网站,但数据包依然在百度云可被公开下载至个人电脑。更早之前,京东商城、当当网的注册用户资料泄密事件,亦闹得沸沸扬扬。

2013年11月,网上惊现一位出售真实QQ、微信用户资料的信息,信息内容高达90G,涉及8000万个微信群和15亿QQ用户,标价为400元。卖家宣称,其出售的资料囊括市场所有行业的最新最全的活跃QQ用户,同时已经按行业、产业、年龄、性别等分好类,还可以针对单个QQ、微信账户,查询到具体的姓名、年龄、社交网及从业经历等。腾讯在2013年11月21日发布公告称,用户资料泄密是2011年的问题,当时便已经进行了安全升级。淘宝网方面则接到了腾讯的协助请求,将网上贩卖资料的信息处理下架。

上述网警介绍称,在电商领域,的确存在隐秘的客户资料黑色产业链,在“黑市”中,用户资料的价格按照“行规”是以文件大小来销售的,打包文件大部分是上百兆的大小,含有几千条信息,一般价格是几万元不等。其中,最值钱的是电商的用户资料,可以按条数来卖,一个经过精细分析的“数据包”甚至可以叫价百万元以上。买家的目的各自不一,有人是用以信息诈骗,有人是买断竞争对手的全部用户资源,有人则是为了给目标客户发送广告。“这种产业链主要集中在电子商务发达的地区,比如杭州、上海、深圳等地。”

浙江大学新闻传播学院的网络传播学者副教授汪凯认为,“中国法律上对于公民个人隐私权的保护一直都比较薄弱。以往谈及公民个人隐私,常常与名誉权一并被提及,但在电子商务发展迅猛的当下,隐私权其实已经成为了一种产权和一种精神财富,尤其是消费隐私。有谁愿意自己何年何月何日何时花了多少钱偷偷买了一盒事后紧急避孕药被天下皆知呢?”

汪凯表示,防范电商再出用户资料泄密事件,除了电商公司积极开展商业伦理教育,建立内部稽查部门及时监控外,国家层面还根据新时代的新变化,出台相关法规,对公民网络隐私予以明确界定,并加大网络获取、公开、买卖公民个人隐私等新犯罪形态的打击力度。

陈良亦表示,国家层面对隐私权的重新界定,在网络时代更应该有“新的说法”,司法体系也应该加大对利用公民网络隐私从事牟利行为的打击力度。