zz

21年淘宝事件请参考：https://baijiahao.baidu.com/s?id=1702767191350143982

目前淘宝ID已可以进行修改，但不幸的消息是，由于订单包含着手机号，一旦您的手机
号泄露，将可能会被查询到具体信息。

我的淘宝信息为什么会被泄露？

首先了解一下返利网

简单来说返利网就是营销推广平台，电商按照比例支付佣金，其实也就是广告费，而所
谓的推广就是优惠券群推广，当你使用通过返利网或者群里优惠卷进行购买时，则代表
广告成功，卖家支付佣金给推广人。

而推广人为了得到更好的推广则需要定向推广，定向推广就需要有你的个人信息，因此
出现这种产业。这也是为什么总会有奇怪的人加你并把你拉入一些优惠群组。

那信息是怎么泄露的呢？

淘宝客则是淘宝的一个佣金赚取渠道，提供的mtop订单接口来统计订单是否由推广而成
交，以及购买人，当你领取优惠券时就会被会得到一个Token，这个获取到的Token本来
是不含有个人信息的，但是Token链接着你的个人信息，同时连接的个人信息存储在服务
区中保存，通过漏洞暴力匹配即可抓取到全部个人信息，这时你领取优惠券购买的商品
名称，个人信息全部泄露。为了统计方便数据统计而保存，却想不到会泄露。这些泄露
的数据将会被前面所说的推广人用于联系你定向推广，同时他也可能会被黑产人员做成
社工库供其他人查询。

但根据 GDP_sc (https://t.me/GDP_sc/2168)信息安全 联系机器人作者所得到的信息，
此次泄露并非是21年的11亿泄露，而是淘宝推广联盟（第三方淘宝客）数据泄露，机器
人作者自称总数有700亿之多，因此这次数据泄露更像是服务器入侵脱库的结果。据机器
人作者说只要领取优惠券或第三方优惠券的绝大部分用户都有泄露。

因此我们建议大家减少领取第三方推广的优惠券以而减少信息获取，以及不要把自己一
些账户授权给第三方。这些第三方平台通常管理松散。且返利群组在Telegram与QQ/微信
中也大量存在，不建议大家为了一些小利润而卖出自己都信息，同时商家真是慈善家？
一次给你优惠几百的优惠券？
--
FROM 123.155.168.*

我查了一下家人的信息，发现泄露的订单大都是使用优惠券下单的，有商品名称和详细
地址，一个星号代表一个字，完全匹配，下单时间也对的上

信息查询：支付即可查询全部信息

      ******订单(共13条)******

---------------------------------

物品：清*************洗球

用户：郭*辉

手机：1*********8

地址：吉*************************园

姓名：**辉

价格：20

时间：2019-09-15 10:36:45

---------------------------------

物品：橙橙子

用户：郭*辉

手机：1*********1

地址：黑********************************室

姓名：**辉

价格：20

时间：2020-03-29 14:38:35

---------------------------------

物品：夏****************************80

用户：郭*辉

手机：1*********1

地址：黑****************************室

姓名：**辉

价格：20

时间：2020-04-17 12:00:29

---------------------------------


【 在 xslidian 的大作中提到: 】
: 这篇文章是把两起事件混杂在一起写的，同时还在B站和知乎发表，作者文化水平可能还不如商丘/浏阳案的作案人高
: 商丘/浏阳案中，淘宝直接公开提供了 uid 转手机号的接口，逯某在爬商品评论用户名单时被淘宝发现并报警，不涉及订单和收货地址
: 而这个号称700亿的返利案具体泄露了什么还不清楚，网上的数据很可能是多组数据合并而来
: ...................
--
FROM 123.155.168.*