【亿邦原创】2月9日,有商户向亿邦动力网爆料称,收到了某公司发来的电子邮件,其中包括当当、淘宝、1号店、麦考林在内的多家主流B2C网站用户个人信息,而这一数据在中小型电商公司中很受欢迎。“大部分都是活跃账户数据,其中支付宝会员就高达2000多万。”
4000多万核心用户信息可支付购买
根据该商户提供的一手资料显示,这些网购用户的数据资源基本来自走秀网、麦考林、当当网、相宜本草、1号店、也买酒、爱慕网、佳品网、名鞋库、猛买网、药房网及部分中小型团购网站和支付宝会员。
其中,淘宝用户支付宝账号达2400万余个,都是实名认证的用户邮箱,并包含部分移动支付宝账号。“对方提供的信息很精细,不同网站的用户数据也各有所侧重。比如支付宝用户,分为买家和卖家两类,还备注了各自所属的行业。”
此外,当当网2011年11月最新注册的1300万会员购物下单客户数据、麦考林137万购物超过千元的用户账号、佳品网100多万会员、走秀网23.6万注册用户数据均有出售。
贩卖用户资料的电子邮件
与“老实人”的聊天记录
亿邦动力网根据该邮件中所留的QQ号,以购买资料为由,联系到了出售用户资料的卖家“老实人”。该卖家随后提供了交易价格,基本为每条信息1分钱。其中当当网的1300万账户售价最高,达9000元。
当亿邦动力网担心数据真实性时,对方表示,数据可以验证,一般来说电商网站的用户都是邮箱或手机注册,注册过的用户名不能再重复注册。“懂行的人看看样式基本知道。”
随后,亿邦动力网随即抽检了“老实人”提供的支付宝的部门数据以验证真伪。其中含有angel字段的邮箱基本都是注册用户,且与淘宝账户相关联,这些邮箱包括126.com、136.com、yahoo.com、sina.com、sohu.com、qq.com、hotmail.com等。
而对方给出的当当网样本数据中,包括用户的姓名、注册邮箱、电话、住址以及客单价数据资料超过1000个。亿邦动力网尝试拨打若干数据中的用户,对方均表示曾在当当网上注册登记过,但并不知晓自己的信息被泄露。
在询问如何交易时,“老实人”称可通过支付宝实现担保付款。“你在上海的话,要是诚心,当面交易也行,网上交易最好。”对方表示。
当当网用户个人资料遭泄露(已做模糊处理)
支付宝部分字段注册用户邮箱在网上贩卖
经验证,泄露的用户资料为真实数据
低价买进用户数据做营销
“最近经常接到一些莫名其妙的短信,都是自称网上购物,一开口就能叫出我的名字,还跟我核对住址,然后便花言巧语地通知我获得了某某网站免费的体验券和打折卡之类的。”亿邦动力网连线当当网泄露名单中的家住广东佛山的樊女士。樊女士表示已在当当注册了两年左右,通常只购买一些书籍,每单消费在三四十元左右。
据亿邦动力网了解,类似樊女士的遭遇者并不在少数。
中国人保财险电子商务部总经理蒋新伟在微博中表示,近来收到也买酒客服的电话,而自己却并未在该网站注册。
也买酒被指用户信息来源不明
通过调查得知,也买酒将招募会员业务交予外包服务商,该电话确实来自也买酒。“大型B2C网站的用户数据对于中小B2C来说十分有吸引力,据我所知,很多初创型B2C网站都在私下购买过大网站的用户数据。”
亿邦动力网连线几家中型B2C网站负责人,均表示曾经多次收到过类似“老实人”这样的盗号者发来的邮件。“我不会用,涉嫌违法,风险太大。且我们和当当网、1号店等平台都有合作,我们不能背着对方收买用户数据,有悖我们公司的原则。”尽管如此,主打电器品类的爱奈商城负责人张川向亿邦动力网表示,这些数据对于一些想做营销的电商公司确实有用。
为此,亿邦动力网在某电商QQ群中询问,不少买卖家均表达了对用户数据的需求。“掌握了用户的核心信息,就可以通过EDM(邮箱营销)和SMS(短信营销)获取更多的新用户,并带来实际转化。”一位淘宝女包卖家表示。
据张川解释,电商公司通常采用的营销方式分为主动营销和被动营销两种。主动营销是指通过活动手机意向顾客的信息,而被动营销则是通过技术手段或购买获取潜在用户信息。
据悉,用户数据的字段信息里,只要含有姓名、电邮、电话号码,对应EDM和SMS两种方式,对初创型B2C以及低端的卖家拉拢用户有很重要的价值。
一位淘宝商城的卖家指出,通过正规渠道获取用户的成本很高,比几千块钱购买用户数据的开销也要高出很多。“因此正在四处寻找可以廉价的方式购买到用户资料。”
“刚刚看了下一些大网站(包括综合门户和垂直门户)2012年的广告刊例价,完全是一片‘涨声’响起来。”有业内人士指出,随着搜索引擎以及门户网站广告价位的不断攀升,对于中小型电商公司来说,使出一些暗箱操作的手段获取用户也是迫不得已。
华强北在线副总裁龚文祥此前公布的数据称,国内B2C的平均ROI是1:0.3。“以京东商城为例,其自有购买会员的通知营销(EDM+SMS)的ROI是1:300,但京东站外营销的ROI平均是1:10。”
而已加盟百分点科技的胡桃夹子原CEO李墨林表示,营销的效果因品类和品牌而异,用户数据营销虽然转化率很低,但是ROI效果明显。“EDM做到1:18的都有,邮件营销的单位成本很低,并能够产生有效订单。”
买卖数据已成恶性循环
“越是低端的卖家越想要,但一定是越高端的网站越有用。接到一封邮件,没听过这家,用户会直接丢垃圾箱,但如果是京东,卓越,当当的,就会打开看看。”一位不愿具名的B2C商家隐晦地表示,目前排名在前五的电商网站,起家的时候都曾购买的用户数据。
据该人士分析,电商公司在购买足够的用户数据后获取新用户,体量增长到足够庞大之后,反而遭人觊觎,成为被攻击的对象。
有媒体披露,包括京东商城、当当、凡客、淘宝网、走秀网、佳品网、1号店等都先后遭受过大规模的攻击。而在2011年岁末,CSDN、天涯、人人等网站用户资料泄露后,当当网、京东商城、支付宝在内的多家电商公司均被传言未能逃脱厄运,其中当当传言超过1200万的用户数据疑遭泄露。
对此,当当网相关人士告知亿邦动力网,此次网上疯卖的用户数据,基本与传言中泄露的数据相吻合。
“鱼养大了,有了新的玩法。但小鱼永远会有小鱼的玩法,偶尔戳戳大鱼,大鱼也是不痛不痒。这可以说是报应,也可以说是行业潜规则。”一位在电子商务界淫浸多年的商家表示,数据泄露往往是电商公司之间公开的秘密,一些公司甚至存在管理不严,员工监守自盗情况,并经过黑客及中间人辗转出售给更小的成长中的电商公司。“依次循环往复,大家心照不宣。”
对此当当网CEO李国庆表示,技术已经提高防盗门槛。“至少目前看到幸好顾客在当当网账户密码尚未被盗。提醒当当网顾客接到推销邮件或电话,不要上当。”
支付宝和京东商城也声称,一直采取金融级的信息安全标准,去保护用户信息及资金安全。支付宝对外强调,其账号不属于私密信息,在很多地方都可以被搜集到。只有账号没有密码,对用户资金安全没有任何威胁。
“但实际上,用户在不知情的情况下个人信息被贩卖,隐私遭到泄露,公司有责任对用户进行相应的赔偿。而国内的电商公司就算承认数据泄露,也没有任何的补救措施,消费者的权益无形间被蔑视。”广州的一家律师事务所的律师在微博中表示。
有业内人士指出,对商家而言,即便是没有密码的用户资料同样具有商业价值。这些隐藏在数据安全表面之下的秘密产业链,往往容易被人忽视。“一套准确率较高的核心用户数据价值过万,几经转手售价翻倍。”
亿邦动力网在百度搜索发现,一些打着文化传播为旗号的邮件营销类咨询公司专门从事电子商务会员数据出售,甚至在百度贴吧还有各类数据商贩长期经营。
百度贴吧
网上一家专门贩卖团购用户资料的商贩
参照案例:
2004年,日本雅虎大约460万用户个人信息外泄,日本雅虎后来向每名用户派送500日元(约合6美元)购物券以示歉意。
2009年,日本人寿保险公司阿利科因3万名顾客信用卡信息外泄,除最终向每名受害者赔偿了1万日元(约合123美元)外,还同时承担了67亿日元(约合8221万美元)换卡费用。
按照惯例,如果外泄数据仅限于姓名、电话等基本信息,赔偿额为每人5000日元至1万日元(约合61美元至123美元);如果遭泄露信息涉及个人隐私,赔偿额可能大幅跳升。
2011年4月份,索尼公告称,黑客侵入旗下PlayStation和索尼在线娱乐游戏服务,窃取大量用户个人信息,包括姓名、地址、电子邮箱、出生日期、登录名、登录密码、登录记录、密码安全问题等,受影响用户大约7700多万。为此,作为对使用者的赔偿,索尼将免费提供一部分的游戏软件,并提供12个月的防身份盗用服务,价值100万美元的保单。
文章来源:亿邦动力网
