电商未予正面回应
□晚报记者 秦川 报道
一度令用户人心惶惶的电商泄密噩梦,近日又有死灰复燃的迹象。
上周末,记者从多名1号店用户处获悉,其账户发生了种种离奇盗刷现象,有人遭冒充工作人员的骗子致电告知中奖“喜讯”,也有人账内余额直接被异地陌生人拿去买金链。与此同时,一份疑似将90万1号店用户信息一网打尽、包括地址手机都详细记录的名单,也正在网上以几百元的价格公然出售。
据知情人士透露,此次泄密可能依然与去年的CSDN(微博)事件有关,属于黑客“拖库”。但接受记者采访时,1号店三缄其口,对泄密原因、名单真假、用户质疑均未予正面回应。
多名1号店用户遭遇盗刷
“朋友说他的1号店账号被盗,我检查了一下,发现自己的账号也被盗了,密码未改,但账户余额被买了电子礼品卡充值到其他账户里。 ”一名深圳用户无奈抱怨称。
近日,包括北京、上海、广东、山东等地在内的多名1号店用户纷纷遭遇类似盗刷现象。上海徐汇区的一名用户表示,由于1号店退款不能直接打回银行卡中,导致其账户中400多元的余额被盗光。另一名同在徐汇区的用户表示,其账号“被下单”购买了黄金手链,素不相识的收货人在河南,令他一头雾水。
1号店青岛用户艾琦透露,她发现账户余额被转移后,立刻致电向客服求助,后者表示该情况已向公安局报案。由于两个月前,当当网(微博)同样因为账号泄露问题而宣布报警,有业者猜测目前1号店的泄密情况及受影响用户覆盖面也不太乐观。
上述用户被盗刷的主要原因,都是账户内的退款余额被不法分子盯上。 “就算退款不能原路打回网银,那也应该做安全验证吧? ”正调查此事的IT业者挨踢客表示,不少被盗的用户都设置了手机绑定,但遭不法分子提现到支付宝(微博)时却未收到任何短信提示,令人十分费解。
究竟用户资料为什么会泄密、目前影响范围有多广?用户反馈的验证缺失问题是否的确存在?这些疑点因1号店的缄默而显得扑朔迷离。
记者昨天多次致电1号店公关部,对方在回复邮件中仅以“我们已经注意到报道”作答,随后反复强调了公司对信息安全的高度重视。对于上述核心问题,1号店拒绝给予任何正面回应。
90万用户资料疑黑市叫卖
值得注意的是,目前网上已有一份疑似汇集了90万名1号店的用户资料名单在“黑市”贩卖,叫价从几百元到几千元不等。有媒体暗访得知,该名单中有截至2011年7月90万全字段的用户信息,包括手机、订单金额、地址、邮箱等等,经验证后的确可登陆1号店。
对于上述名单的真伪,1号店方面同样拒绝回应。不过或许可以确定的是,这份名单曝光后的牺牲品已经出现。
不久前,微博用户邹女士公开曝光称,她的朋友莫名其妙接到来自“1号店”的电话,对方说要邮寄1号店会员卡、化妆品以及300元充值卡。离奇的是,对方在电话中念出的地址,居然就是她今年3月11日在1号店下单时填的地址。由于不明真相,她朋友的同事帮其代付了298元的“货到付款”费用,结果发现收到的是一堆假货。
邹女士表示,她当时由于帮人代购记不清具体地址,随手在订单页面填了个“周一填写”。时隔两月,骗子在忽悠她时,居然也表示1号店”所记录的地址是“周一填写”,希望邹女士的朋友把详细地址告诉“客服”,以便寄送礼品。
当当网礼品卡“变身”尿不湿
除了1号店,更多电商网站也难逃“泄密”的阴影。
今年3月,当当网多名用户遭遇“盗刷”,账户余额被洗劫一空,多用于购买笔记本电脑、鼠标等产品并发给陌生收货人。
当当网随即紧急冻结所有当当网账户余额及礼品卡,进行为期三天的排查,同时给予用户一定的补偿,并向公安机关报案。记者当时从其内部了解到,嫌疑人已初步锁定在福建、广东等地。
不过,时隔两个月,嚣张的盗刷者似乎仍在打游击战。3天前,一名沈阳地区的当当网用户发现自己购买的4500元礼品卡,一夜之间被身份不明者全部拿去买了尿不湿,令人哭笑不得。而此前赠送给客户的其他礼品卡,不少也难逃厄运。
当当网公关部昨天向记者表示,他们经过调查已基本确认这是又一起盗刷事件,但具体原因还在调查。对于今年3月的大规模泄密事件,当当网称目前警方仍在走司法取证流程,暂无可对外公布的进展。
电商是否该为“泄密门”埋单
近半年,相继卷入“泄密门”的电商不胜枚举,主流的几家巨头几乎均曾中枪。而在受访时,他们几乎一致撇清了责任,把矛头指向被称为“始作俑者”的CSDN。
去年年底,有黑客在网上公开了开发者技术社区CSDN网站的用户数据库,包括600余万个注册邮箱账号和与之对应的明文密码。随后人人网、猫扑、天涯等多家互联网站相继遭黑客恶意公开数据库,有超过5000万个用户账号和密码在网上公开扩散。
电商业内人士表示,黑客专门编了一套软件,在很短时间内挨个尝试密码登录各大电商网站,这种“拖库”和“试库”的机械方式,往往能斩获非常多“一个账号走天下”的粗心用户,这也是导致“泄密”的主因。
不过,上述说辞也被部分用户视为电商的“遮羞布”。 “我今年2月才注册的账号,用户名是全新的,从没用过。可今年3月我登录时,系统提醒可能存在‘异常登录’,非要我改密码,不改就不能用。 ”用户马小姐告诉记者,她无法理解其中的逻辑。 “如果不是电商自己的用户数据库被黑客攻破,它没有任何理由如此紧张。 ”
究竟谁该为此埋单?知名律师赵占领表示,如果是用户CSDN账户密码与电商账户密码相同导致损失,则后者没有任何法律责任。但如果是电商资深数据库信息泄露所致,则要看其是否尽到基本的安全保障义务,举证责任在于电商。