淘宝“撞库”第一案：比对9900万账号，三分之一被盗

短短的一个月时间里，有人用巨量的邮箱、QQ等账号密码在淘宝网进行了9900万次的比对，他们发现有近三分之一的账号和密码在淘宝网登陆平台也是真实存在的。很快，这些淘宝账号和密码被直接盗走，随后卖给商家进行信用刷单……

据警方调查，这些被盗取的账号在一个月时间内牟利达280万元，涉案数额十分惊人。若让其继续发展下去，会导致淘宝网直接瘫痪。

三名犯罪嫌疑人分别是32岁的姚祥、25岁的钱国平和30岁的吕进财，均为江苏常州市人。警方在调查时发现，三人虽然是此案引发的直接操作者，但对于盗取网络信息和黑客攻击等“技术手段”，他们完全不在行。

姚祥交代说，他们背后有一个“藏龙卧虎”式的人物，名叫徐桑，家在江苏无锡。

浙江平湖警方火速派员赶赴江苏无锡。在当地警方的配合下，办案民警在无锡开发区的家园宾馆发现了徐桑。近日大赚了一把的徐桑此刻正在宾馆里玩着网络游戏，他根本不知道警察已找上了门来。当几个民警一拥而上冲进去时，徐桑整个人完全沉浸在电脑的玩耍取乐中，竟随口一句“你们别吵，你们随便坐，冰箱里有喝的吃的，开水自己烧……”

犯罪嫌疑人“撞库”所用的部分数据库截图

徐桑，1984年出生在江苏无锡市滨湖区荣巷街道的一个工人家庭，毕业于无锡职业技术学院，学的是无线电专业。但他对电脑编程特别投入，最喜欢破译别人电脑上的密码。在他读职专的两年中，他几乎把班上所有同学的电脑开机密码都破译了一遍。“也不一定是为了偷窥别人隐私，主要是成功的快感和喜悦。”他说。

从职专毕业后，徐桑应聘的工作不是网管就是电商小公司的职员，干得很是郁闷，他感觉这些小菜一碟的活，根本不能发挥他的特长，无意思透顶。最后他还是选择回到了家，在网上开了个修电脑的小店。也就是在修电脑的过程中，徐桑发现很多人都在登录各式各样邮箱、支付宝等平台时，直接保存了账号。他将这些账号记录下来，利用攻防程序对其相应密码进行破译，多半都能得到其中的密码。之后，徐桑又编出了一套便捷程序，只需一分钟便能得到50个以上的邮箱账号和密码。但当时，徐桑并没有修改盗走别人的账号，只是通过这种途径，偶尔进入别人的邮箱看看有什么隐私，获得一点小小的成就感。

2014年，徐桑与女友胡小曼结婚。婚后，夫妻俩仍和徐桑的父母住在一起，日子过得磕磕绊绊。没有渠道赚大钱，成了徐桑最大的困扰。

就在徐桑最需要渴望赚钱的时候，姚祥找到了他。原来，2010年秋天，江苏常州人姚祥在浙江嘉兴桐乡市开着一家卖羊毛衫的网店，刚开张时，没什么人来买，更谈不上人气。他听朋友们说可以买些淘宝账号来刷商家的信用级别。于是，他就通过论坛找到一些卖家，买了一批淘宝账号刷信用，生意果然火了起来。其他开网店的朋友看到他这种办法很奏效，都主动找他帮忙买账号，有的甚至愿意出高价。姚祥这才醒悟这其实是个难得的“商机”。于是，他从网上低价购买了一大批淘宝账号，然后再高价卖给需要刷信用的人，从中赚取一定的差价。

可时间一长，姚祥发现自己的业务量虽大，但利润不高，主要是购买账号的成本太高了。他由此想到，如果能直接盗走别人的淘宝账号和密码，不就能赚到更多的钱吗？于是，他在计算机论坛寻找“高手”，可联系了七八个“黑客”，人家都说淘宝的网络安全防护是国内最厉害的，他们无法直接盗号。最后，这些黑客不约而同地向他推荐了一个名叫“自由侠”的人，说他是黑客界的“神”。这个人就是徐桑。

姚祥“三顾茅庐”，徐桑都拒绝了他。徐桑说，淘宝账号安全系数太高，他曾经尝试过盗号，最后都失败了。而且，这么做可能会触犯法律。

姚祥郁闷之余，又觉得徐桑其实并没有在彻底的拒绝他，而且从他的口气里猜测他可能很需要钱。于是，姚祥决定最后再赌一次。当晚，他直接用微信给徐桑转账2万元，试探他是否会收下这笔钱？在焦急的等了4个小时后，徐桑竟点了收账！

原来如此！姚祥如释重负：既然徐桑收了钱，就表明他有把握做这件事。

其实，在收到姚祥的转账信息后，他纠结得直抓头发。他并不想做这件事，因为风险太大，又会涉嫌犯罪。可金钱的诱惑实在是太难以抗拒了，想到一家人挤在60多平米的房子里，连孩子都不敢生，他觉得这或许是自己赚大钱的唯一机会了。他收下了这两万元钱，逼迫自己去“赌一把”。

此后，徐桑便开始研究如何盗取淘宝账号。尝试了多次直接盗号失败后，徐桑突然想到自己平时破译了不少邮箱、QQ等账号密码。他输入了几个账号和密码到淘宝登录平台后，竟有两个成功了！原来，很多人为了图省事，邮箱、QQ等账号、密码与在淘宝上设置的是一模一样的！

这之后，徐桑利用自己编写的便捷盗号程序，夜以继日地发起攻击，在其他网络登录平台上，陆续盗走了9900多万个账号与密码。而后，徐桑将这些账号密码信息全部给了姚祥。姚祥找到亲戚吕进财和钱国平，让他们将这些账号和密码输入淘宝登录平台比对，结果发现竟有2059万多个账号能够直接登陆淘宝！

三人将这些账号重置密码，彻底地盗走，又在10天内卖给了淘宝商家，获得了高达280万元的暴利！姚祥也履行承诺，打给了徐桑100万元。

犯罪嫌疑人通过QQ群出售账号密码库

2016年10月31日，徐桑和姚祥分别被平湖法院判处有期徒刑15年和9年，另2人被判处有期徒刑七年。

80后的徐桑，在电脑技术应用上本有着过人的才华，如能找到适合其发展的空间，必定前途无量，可他却为了眼前的利益，在短短一个月内自毁前程。令人叹息。此案也给我们敲响了警钟：如何保证个人账号不被泄露？侦破此案的网络民警提出了下面几条有利于规避风险的建议：重要网络平台的密码一定要独立，让人猜测不到，或者用专门的软件来帮你记忆；电脑勤打补丁，安装杀毒软件；不要在公共场合使用公共无线，否则容易被窥探账号密码；尽量让密码更复杂一些；在不同的网站，要采取不同的安全账号和密码，以避免“撞库”的发生。另外，也希望互联网从业者采取更加安全的保护措施，共同建设网络安全防护阵线。

（文/沙渡路 除犯罪嫌疑人外，其余为化名）