網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛,而用戶綁定的手機(jī)卻從未收到過(guò)任何提示短信���。
近日���,當(dāng)當(dāng)網(wǎng)用戶何麗就遭遇了上述事件。雖然根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說(shuō)法�����,這是郵箱密碼泄露所招致的被盜,不過(guò)對(duì)于這樣的回應(yīng)����,何麗并不能接受。她認(rèn)為����,明明自己已經(jīng)綁定了手機(jī)號(hào),黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額��,也就是說(shuō)��,手機(jī)號(hào)綁定這一安全措施形同虛設(shè)�����,難道當(dāng)當(dāng)網(wǎng)沒(méi)有一點(diǎn)責(zé)任����?
“不排除當(dāng)當(dāng)網(wǎng)在安全認(rèn)證邏輯上存有瑕疵���?��!睒I(yè)內(nèi)人士告訴法治周末記者�,盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對(duì)的安全��,但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下�����,作為互聯(lián)網(wǎng)服務(wù)提供商����,應(yīng)該在現(xiàn)有認(rèn)知水平范圍內(nèi)認(rèn)真梳理公司的安全保障機(jī)制,這是對(duì)用戶應(yīng)盡的保護(hù)義務(wù)��。
?
禮品卡和現(xiàn)金余額都不翼而飛
?
5月27日��,來(lái)自廣州的用戶何麗在登錄當(dāng)當(dāng)網(wǎng)時(shí)�,網(wǎng)站提示:賬號(hào)密碼錯(cuò)誤。起初�,何麗以為是兩個(gè)月未登錄該賬戶,忘記了密碼��,便通過(guò)當(dāng)初認(rèn)證的郵箱上嘗試找回密碼�。
不過(guò),當(dāng)她找回密碼重新登錄后����,卻發(fā)現(xiàn)自己在當(dāng)當(dāng)網(wǎng)賬號(hào)下的原有禮品卡余額由應(yīng)有的359元變?yōu)?/span>0����,原先的訂單信息也全部消失�����?�!拔业馁~號(hào)雖然還在����,但卻已經(jīng)變成了空賬號(hào)?��!?/span>
5月28日,何麗聯(lián)系當(dāng)當(dāng)網(wǎng)客服人員��,要求由其查證被盜原因并恢復(fù)自己賬號(hào)中的資料���。隨后����,客服人員告知其賬號(hào)被盜的原因是何麗自己的郵箱賬號(hào)及密碼被盜����,何麗賬號(hào)下的用戶名��、預(yù)留的手機(jī)號(hào)碼已統(tǒng)統(tǒng)更改為她不認(rèn)識(shí)的號(hào)碼和資料����。
在何麗的要求下�����,當(dāng)當(dāng)網(wǎng)客服幫助其將自己原來(lái)的資料移動(dòng)到新注冊(cè)的郵箱底下�。重新進(jìn)入原有賬戶后,何麗發(fā)現(xiàn)��,賬戶原有的15元現(xiàn)金也被消費(fèi)完��。
依照訂單顯示的詳情��,所購(gòu)貨品為兩包嬰兒紙尿片�����,寄送到深圳的某一地點(diǎn)�,訂單中顯示有手機(jī)號(hào),不過(guò)何麗撥打過(guò)去卻顯示為關(guān)機(jī)狀態(tài)��。
其實(shí),此次并非當(dāng)當(dāng)網(wǎng)用戶第一次遭遇盜號(hào)事件�����。早在2012年初�����,當(dāng)當(dāng)網(wǎng)就被爆出大量用戶賬號(hào)被盜���。當(dāng)時(shí)�,當(dāng)當(dāng)網(wǎng)對(duì)媒體給出的解釋是源于CSDN網(wǎng)站數(shù)千萬(wàn)用戶密碼被泄露���。
2011年年底���,程序員網(wǎng)站CSDN�、天涯社區(qū)出現(xiàn)大規(guī)模的用戶數(shù)據(jù)泄露事件,超過(guò)5000萬(wàn)個(gè)用戶賬號(hào)和密碼在網(wǎng)上公開擴(kuò)散�。由于很多用戶習(xí)慣在不同網(wǎng)站使用相同的賬戶密碼,給不法分子留下了可乘之機(jī)�����。不僅當(dāng)當(dāng)網(wǎng)被波及,京東�����、一號(hào)店等電商也集中爆發(fā)禮品卡盜刷事件��。
2014年3月����,當(dāng)當(dāng)網(wǎng)再次被爆出用戶賬戶余額被盜事件,當(dāng)當(dāng)網(wǎng)對(duì)此發(fā)布公告稱��,此次賬號(hào)余額被盜事件是由于其WAP端存在安全漏洞所引起的���,當(dāng)當(dāng)也承諾由此造成的消費(fèi)者損失��,會(huì)由公司先行賠付�。
此次何麗在發(fā)現(xiàn)賬號(hào)被盜后��,在向警方報(bào)案的同時(shí)���,也聯(lián)系了當(dāng)當(dāng)網(wǎng)客服進(jìn)行投訴�����。
6月19日��,當(dāng)當(dāng)網(wǎng)公關(guān)總監(jiān)徐淳在回復(fù)法治周末記者采訪時(shí)也證實(shí):何麗的郵箱被盜是出現(xiàn)此事件的原因����。
“經(jīng)過(guò)公司內(nèi)部核查,何麗的賬號(hào)在今年3月底被盜�,賬號(hào)被盜原因可能為用戶郵箱被盜所致,建議用戶報(bào)警��?!毙齑窘榻B,關(guān)于盜用者的信息�,當(dāng)當(dāng)網(wǎng)也在追查中,并會(huì)積極配合警方調(diào)查��。
?
僅用郵箱變更賬號(hào)信息已滯后
?
法治周末記者了解到�,近段時(shí)間以來(lái),當(dāng)當(dāng)網(wǎng)用戶中遭遇賬號(hào)被盜���、賬戶內(nèi)禮品卡被盜刷的不僅是何麗一人。
今年3月�,一名“王差飛向月球”的微博用戶,在微博上也反映:自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光�。當(dāng)時(shí),他還將自己的遭遇@了“當(dāng)當(dāng)網(wǎng)”和“當(dāng)當(dāng)李國(guó)慶”���。另?yè)?jù)媒體報(bào)道����,今年5月�����,在杭州濱江一家證券公司上班的朱小姐��,禮品卡內(nèi)1300余元也被盜刷……
讓何麗頗為困惑的是���,自己重新登錄當(dāng)當(dāng)賬戶后����,發(fā)現(xiàn)郵箱和手機(jī)號(hào)碼等重要資料的篡改���,全部通過(guò)郵箱完成����,自己綁定的手機(jī)號(hào)碼并未收到任何提醒。
“平時(shí)在當(dāng)當(dāng)網(wǎng)的消費(fèi)和充值情況����,手機(jī)都會(huì)收到短信,但盜號(hào)者盜用賬號(hào)��、修改手機(jī)號(hào)時(shí)���,我的手機(jī)卻沒(méi)有收到任何提醒警示或者驗(yàn)證�。所以我認(rèn)為�����,這是當(dāng)當(dāng)網(wǎng)流程和系統(tǒng)設(shè)置的一個(gè)大漏洞�。”何麗認(rèn)為��,正是當(dāng)當(dāng)網(wǎng)在身份認(rèn)證機(jī)制上的缺陷���,才使得自己發(fā)生了損失����。
不過(guò)���,何麗告訴法治周末記者��,當(dāng)當(dāng)網(wǎng)客服人員否認(rèn)網(wǎng)站存有缺陷����,也拒絕承擔(dān)任何責(zé)任�����。
那么由郵箱申請(qǐng)賬號(hào)后���,單純通過(guò)郵箱變更電商賬號(hào)內(nèi)所有信息是否屬于行業(yè)通行的做法呢�?
獵豹移動(dòng)安全專家李鐵軍在接受法治周末記者采訪時(shí)表示��,之前�����,互聯(lián)網(wǎng)服務(wù)提供者主要通過(guò)用戶名和密碼確認(rèn)登錄者的身份����,變更一般也通過(guò)認(rèn)證的郵箱來(lái)進(jìn)行。
不過(guò)���,李鐵軍表示�,隨著互聯(lián)網(wǎng)上拖庫(kù)(指黑客攻擊網(wǎng)站漏洞,竊取包含用戶注冊(cè)郵箱和密碼的數(shù)據(jù)庫(kù))���、撞庫(kù)事件(黑客將數(shù)據(jù)庫(kù)聚合在一起�����,專門針對(duì)知名電商網(wǎng)站自動(dòng)化批量登錄)的接連發(fā)生�����,大約從2013年開始��,支付寶等第三方支付機(jī)構(gòu)在驗(yàn)證用戶身份時(shí)啟用了賬戶密碼和手機(jī)短信驗(yàn)證的雙重驗(yàn)證體系���,近一兩年來(lái)開始擴(kuò)展至B2C電商平臺(tái)。
“對(duì)于電商平臺(tái)等具有交易屬性的網(wǎng)站�,尤其是綁定有支付卡的網(wǎng)站而言,如果目前還沒(méi)有開通綁定手機(jī)號(hào)的驗(yàn)證功能��,說(shuō)明其在網(wǎng)絡(luò)安全措施上還不到位��?���!崩铊F軍說(shuō)����。
李鐵軍認(rèn)為�,對(duì)于賬號(hào)出現(xiàn)的異常登錄����、賬戶個(gè)人信息的重大變更,如變更收貨地址等���,電商平臺(tái)都應(yīng)當(dāng)增加手機(jī)驗(yàn)證的方式�,以此確保用戶的賬號(hào)使用安全�����。
法治周末記者在采訪中了解到����,一些電商平臺(tái)如淘寶網(wǎng),如果用戶要修改密碼或者進(jìn)行其他事項(xiàng)的變更�����,為了保障賬戶安全,在進(jìn)行變更前都需要確認(rèn)對(duì)方身份�,如果賬戶綁定了手機(jī),則優(yōu)先進(jìn)行手機(jī)校驗(yàn)����;若未綁定則可以選擇登錄郵箱進(jìn)行校驗(yàn)。
?
變更賬戶機(jī)制被指不合理
?
網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為��,當(dāng)當(dāng)網(wǎng)的這種認(rèn)證邏輯存有缺陷����。他向法治周末記者介紹,一般情況下����,如果用戶要變更原來(lái)的手機(jī)號(hào)碼等資料信息,是需要給原來(lái)的手機(jī)號(hào)碼發(fā)送驗(yàn)證碼�����,以確保該變更是在原用戶的掌控下所進(jìn)行的操作���,“否則綁定手機(jī)號(hào)就變得沒(méi)有意義���,只是一種擺設(shè)”�。
6月18日�����,法治周末記者以用戶身份致電當(dāng)當(dāng)網(wǎng)客服�,一位男性客服人員告訴記者,如果客戶是以手機(jī)號(hào)碼申請(qǐng)的當(dāng)當(dāng)網(wǎng)賬號(hào)���,那么要對(duì)賬戶信息進(jìn)行變更必須通過(guò)手機(jī)進(jìn)行驗(yàn)證;如果是以郵箱申請(qǐng)的賬號(hào)�,在用戶通過(guò)安全中心綁定了手機(jī)的情況下,當(dāng)當(dāng)網(wǎng)會(huì)提供郵箱驗(yàn)證和手機(jī)驗(yàn)證兩種方式��,用戶選擇其中一種即可����。
該客服人員稱,如果用戶以郵箱申請(qǐng)當(dāng)當(dāng)網(wǎng)賬號(hào)后����,賬戶密碼還同原來(lái)的郵箱密碼保持一致,就會(huì)存有非常高的風(fēng)險(xiǎn)���,容易使不法分子通過(guò)郵箱驗(yàn)證的方式�,變更其所有的信息。
何麗告訴法治周末記者��,其最初的當(dāng)當(dāng)賬號(hào)密碼同郵箱密碼并不相同���,而是存在明顯的差異��。此次事件后�,她又以QQ郵箱重新申請(qǐng)了一個(gè)新的當(dāng)當(dāng)賬號(hào)����,也綁定了手機(jī)號(hào),但是客服人員仍然告訴她��,即使綁定����,也可以選擇通過(guò)郵箱更改所有資料。
何女士認(rèn)為��,在綁定手機(jī)號(hào)的情況下����,還可以單純通過(guò)郵箱進(jìn)行變更,這樣的認(rèn)證方式缺乏合理性,也讓變更者缺乏制約�。
法治周末記者也就該問(wèn)題采訪了徐淳。徐淳表示��,當(dāng)當(dāng)網(wǎng)對(duì)客戶的賬號(hào)安全有嚴(yán)密的保護(hù)措施�����,包括郵箱驗(yàn)證�����、手機(jī)驗(yàn)證等身份驗(yàn)證方式�����,不過(guò)對(duì)于何麗遭遇的情形�,其需要同技術(shù)部門溝通查詢更多信息��。截至記者發(fā)稿�����,當(dāng)當(dāng)網(wǎng)方面未就該問(wèn)題作出回應(yīng)�。
對(duì)此,李鐵軍認(rèn)為,即使密碼不同���,只要不法分子掌握用戶的郵箱和密碼�,就可以像何麗一樣�,通過(guò)“找回密碼”的方式登錄平臺(tái)賬號(hào),修改相關(guān)信息�����,同時(shí)關(guān)聯(lián)到自己的手機(jī)上���。因此李鐵軍認(rèn)為��,在綁定手機(jī)號(hào)的情形下�,僅通過(guò)認(rèn)證郵箱就可以變更所有用戶資料的做法是欠妥當(dāng)?shù)摹?/span>
?
電商平臺(tái)應(yīng)盡更高注意義務(wù)
?
對(duì)于當(dāng)當(dāng)網(wǎng)的認(rèn)證機(jī)制��,喬聰軍也認(rèn)為�,相對(duì)于普通用戶,電商平臺(tái)更應(yīng)知曉不同驗(yàn)證方式對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)�,尤其是此前當(dāng)當(dāng)網(wǎng)出現(xiàn)了多起用戶賬號(hào)被盜事件,出于保護(hù)消費(fèi)者權(quán)益的考慮��,在用戶原賬號(hào)信息作出重大變更時(shí)����,應(yīng)當(dāng)通過(guò)多重方式進(jìn)行驗(yàn)證和告知����,手機(jī)短信驗(yàn)證應(yīng)該成為提示的“標(biāo)配”�����。
“打個(gè)比方����,用戶用郵箱申請(qǐng)的賬戶及密碼相當(dāng)于家庭中的防盜門,綁定手機(jī)號(hào)的用戶資金賬戶是屋內(nèi)的木門�,一般來(lái)說(shuō)兩個(gè)門都要有鑰匙,而且是不同的鑰匙�。如果用戶不慎丟失了防盜門的鑰匙,通過(guò)木門的鑰匙也能防止資金賬戶被盜刷�����,而非單純通過(guò)一個(gè)郵箱就打開了所有的門����?�!眴搪斳娬f(shuō)。
中國(guó)電子商務(wù)政策法律委員會(huì)副主任劉春泉在接受法治周末記者采訪時(shí)表示���,我國(guó)消費(fèi)者權(quán)益保護(hù)法規(guī)定了企業(yè)負(fù)有確保消費(fèi)者信息安全的義務(wù)���,作為企業(yè)應(yīng)當(dāng)采取技術(shù)和其他必要措施,防止消費(fèi)者個(gè)人信息泄露����、丟失,“不過(guò)要想讓企業(yè)絕對(duì)地保障安全��,這是做不到的”����。
不過(guò),劉春泉認(rèn)為���,如果是基于現(xiàn)有認(rèn)識(shí)水平可以預(yù)料到這種瑕疵或者漏洞���、但不予改進(jìn),那就是有過(guò)錯(cuò)���,如果因?yàn)檫@種瑕疵或者漏洞對(duì)用戶造成損失���,那么電商平臺(tái)就應(yīng)當(dāng)承擔(dān)一定的責(zé)任���。
喬聰軍認(rèn)為,在互聯(lián)網(wǎng)信息安全事件頻發(fā)的背景下��,作為互聯(lián)網(wǎng)服務(wù)提供商�,應(yīng)當(dāng)認(rèn)真梳理身份認(rèn)證的邏輯,加大信息安全方面的投入����,切實(shí)保障消費(fèi)者的權(quán)益。
此外��,李鐵軍對(duì)記者介紹�,很多用戶在互聯(lián)網(wǎng)上使用同一套用戶名和密碼,“這種做法的危險(xiǎn)性是非常高的���,被盜幾乎是一定的���,只是時(shí)間早晚的問(wèn)題”。
李鐵軍介紹��,如果用戶在不同網(wǎng)站都使用相同的注冊(cè)郵箱和密碼����,一旦有一家網(wǎng)站被黑客拖庫(kù),不法分子就會(huì)批量嘗試去其他網(wǎng)站登錄��,即進(jìn)行撞庫(kù)�,一旦撞庫(kù)成功,不法分子就會(huì)獲取用戶更多的個(gè)人信息�����,或用于竊取賬戶金額��,或者用于實(shí)施詐騙��。
為此�����,李鐵軍建議消費(fèi)者�,對(duì)于有交易屬性的網(wǎng)購(gòu)平臺(tái)的用戶名和密碼盡可能保證唯一性,不要與郵箱密碼或者其他網(wǎng)站的登錄信息一致��。此外���,如果認(rèn)為某電商平臺(tái)的安全保障措施欠缺��,李鐵軍建議消費(fèi)者不要綁定銀行卡或第三方支付賬號(hào)��,以免遭受更大的損失����。
