新闻频道 > 深度 > 正文

20G海量用户信息被盗卖 支付宝内鬼泄密

2014-01-06 11:30 来源:经济观察网

  2013年11月27日,从事电商工作的张建因“涉嫌非法获取公民个人信息罪”,而被杭州市公安局西湖分局刑事拘留,羁押于杭州市三墩镇振华路看守所。

  张建案发,由李明(音)牵出。李明系阿里巴巴旗下支付宝的前技术员工,其利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,资料内容超20G。李明伙同两位同伙,随后将用户信息多次出售予电商公司、数据公司。

  经阿里巴巴廉正部查悉,下载支付宝用户资料的行径或为李明所为,并在杭州报案。杭州警方以该市翠苑派出所为主体,将上述四人予以控制。犯罪嫌疑人张建系李明团伙的第一个“客户”,其以500元的代价,从李明处购得3万条支付宝用户信息。

  据李明等供述,支付宝用户的最大买家系服装类电商公司凡客诚品,其花重金从李明团伙手中购得支付宝用户资料1000万条。不过,一位在李明被取保候审后与之有过接触的人士表示,“凡客诚品之说,仅仅是李明的供述,这不排除有作假的可能性,凡客诚品有无实际购买,最终应由警方认定。”1月2日晚间,凡客诚品一位副总裁向经济观察本报表示:“不太清楚这件事,没听说过。”公司公关总监焦宏宇表示,“如果警方需要,我们会积极配合。”

  支付宝方面则在承认确有内部员工盗卖用户信息案的同时,不愿发表更多意见。

  截至发稿,该案仍在侦破中,翠苑派出所负责刑事案件的知情警官陈伟(音)表示不便透露案件进展。目前,张建、李明等处于取保候审状态。1月2日晚,记者拨通张建电话,其表示在警方正式处理方案出来前,他不愿对此事再有提及。

  “内鬼”盗卖

  2010年,张建在杭州某公司从事电商工作,负责品牌运营和推广。因工作关系,结识了前支付宝员工李明,双方开始有了“生意”上的合作。在一次合作中,李明欠下张建500元人民币的酬劳。

  最终,这500元未发生实际支付,经双方协商,李明向张建提供3万条目标消费者信息作为“冲账”。也就是说,张建仅以“500元”为代价,就从李明处“购”得了3万条支付宝用户信息。

  张建所购的支付宝用户资料中,包括公民个人的实名、手机、电子邮箱、家庭住址、消费记录等,从这些定位精准的用户信息中,张建掌握了目标消费群体的具体信息。

  张建是李明的第一个“主顾”。李明时任支付宝技术员工,其利用工作之便,多次从支付宝后台下载用户信息。据其对警方的供述,其下载的信息的大小容量在20G以上。

  李明下载支付宝用户信息后,伙同两位阿里巴巴系统外的IT业者,共同将用户数据加以分析、提炼,并兜售给目标客户。据一位在李明被取保候审后与其有过接触的人士透露,李明团队对警方承认,支付宝用户信息被其团队多次出售给多家电商公司、数据公司,并从中获得了经济利益,其中最大的买家系凡客诚品,该公司曾一次性购买支付宝用户信息1000万条。

  1月2日晚间,凡客诚品一位副总裁向经济观察报表示,他对此案不清楚,也“没听说过”。凡客诚品公关总监焦宏宇亦表示她暂未听闻,问询过公司法务部门后,她向经济观察报表示:“我们暂时没接到警方的问询记录,如果警方有需要,我们会积极配合。”

  上述接近李明的人士强调称,“目前案件仍在侦查阶段,且犯罪嫌疑人亦不排除供述造假的可能性。凡客诚品是否实际发生过向李明团队购买支付宝用户信息的行为,最终需要警方的认定,警方的侦破对象中是否包括凡客诚品,也不得而知。就目前而言,不能武断地认为凡客诚品有购买支付宝用户信息的行为。”

  张建的案发,由李明供出,而将李明交给警方的,则是阿里巴巴的廉正部。该部门由律师、注册会计师和退役警察组成,旨在调查阿里巴巴内部是否存在违反公司纪律的情况。事实上,阿里巴巴在对待“内鬼”方面,一向是从不姑息。2012年初,阿里巴巴廉正部发现聚划算上一家团购业务指定运行商“爱婚婚”存在不正常交易,该公司仅上线8个月,就参加过聚划算200次以上的团购活动。调查后发现,该公司其实是由一位阿里云员工、一位淘宝网员工和一名聚划算员工合资组建的,故而其团购活动被“自己人”特意关照了。几名“内鬼”的过失被记在了聚划算总经理阎利珉的账上,后者因此被阿里巴巴免职。

  更早之前的2011年,马云针对公司CEO卫哲引咎辞职事件,在阿里巴巴内部邮件中表示:对于“触犯商业诚信原则和公司价值观底线的行为”,不能有任何的容忍姑息。

  尽管是阿里巴巴自己报的案,但阿里巴巴系统内,大多数人对李明案都未曾听闻。一位支付宝内部的管理人员承认李明确实盗卖用户信息,但又强调,此案事发已有几年,且用户信息并未被大范围传播上网。

  阿里巴巴一位内部知情人士透露称,在阿里巴巴旗下诸公司内,员工等级不同,权限也不同,像李明这样大量下载用户资料为什么没有第一时间被监控到,直到3年后才被公司发现继而报案,他本人表示很难理解。“不得不承认,我们在管理上出了一些问题。”

  锦天城律师事务所合伙人、律师陈良认为支付宝员工盗卖用户信息,一方面是公司监控不力、管理漏洞,另一方面则非常“恐怖”。“首先是公民的个人财产安全,其次是公民个人的隐私安全,再次是公民个人的人身安全。社会上有很多的特殊人群,比如维权律师、调查记者等,他们由于工作需要,难免会做一些得罪人的事,如果他们的个人隐私比如家庭住址等被江湖仇家获悉,人身安全便难以得到保障;另有一些不太能见得光的职业,比如夜总会的小姐等,她们的个人信息若被别有用心的人掌握,即有可能会做出一些让她们不敢报案的威胁;再比如一些单位,出于商业的需要,也会从淘宝上购买大量礼品,如果其动向被竞争对手获悉,极有可能会带来不必要的麻烦。还有,支付宝的用户信息不同于其他网站的用户注册信息,包括公民个人的实名、身份证号码、手机、住址、支付宝余额、购物习惯等,有了这些信息,即有可能就此破译公民个人的网络密码,毕竟有很多网民,尤其是中老年网名,其网络密码就是生日。所以说,这件事很可怕。”

  截至发稿,案件仍在侦查中,具体操作此案的翠苑派出所并未透露案件进展,但张建、李明等已被取保候审。上述接近李明的人士表示,“就张建而言,涉案金额仅500元,情节不算严重。”

  对于像支付宝员工盗卖用户信息案,江苏一位网警也表示很无奈。“作为警方而言,目前此类案件只能往‘非法获取公民个人信息罪’上靠,但此罪造成的影响很难被认定。公民个人信息被泄露,对于公民个人而言,究竟造成了多大的损失,很难被量化。在对犯罪嫌疑人的罪行认定中,警方目前一般是以犯罪嫌疑人贩卖信息的条数来认定情节严重与否。”

  1月2日晚间,取保候审在家的张建对本报表示,在警方正式处理意见出来前,他本人不愿再提及此事。

责编:安文靖
0
我要评论
用户名 注册新用户
密码 忘记密码?