新聞源 財富源

2024年11月19日 星期二

財經 > 消費 > 消費警示 > 正文

字號:  

噹噹網安全認證形同虛設:賬戶被盜餘額不翼而飛

  • 發佈時間:2015-06-25 09:00:13  來源:光明網  作者:馬樹娟  責任編輯:金瀟

  網站賬戶裏原本應有的禮品卡和餘額不翼而飛,而用戶綁定的手機卻從未收到過任何提示短信。

  近日,噹噹網用戶何麗就遭遇了上述事件。雖然根據噹噹網客服人員的説法,這是郵箱密碼洩露所招致的被盜,不過對於這樣的回應,何麗並不能接受。她認為,明明自己已經綁定了手機號,駭客卻僅憑郵箱就變更了資料並竊取了賬戶金額,也就是説,手機號綁定這一安全措施形同虛設,難道噹噹網沒有一點責任?

  “不排除噹噹網在安全認證邏輯上存有瑕疵。”業內人士告訴法治週末記者,儘管網際網路企業難以保障絕對的安全,但是在網路安全事件頻發的大背景下,作為網際網路服務提供商,應該在現有認知水準範圍內認真梳理公司的安全保障機制,這是對用戶應盡的保護義務。

  禮品卡和現金餘額都不翼而飛

  5月27日,來自廣州的用戶何麗在登錄噹噹網時,網站提示:賬號密碼錯誤。起初,何麗以為是兩個月未登錄該賬戶,忘記了密碼,便通過當初認證的郵箱上嘗試找回密碼。

  不過,當她找回密碼重新登錄後,卻發現自己在噹噹網賬號下的原有禮品卡餘額由應有的359元變為0,原先的訂單資訊也全部消失。“我的賬號雖然還在,但卻已經變成了空賬號。”

  5月28日,何麗聯繫噹噹網客服人員,要求由其查證被盜原因並恢復自己賬號中的資料。隨後,客服人員告知其賬號被盜的原因是何麗自己的郵箱賬號及密碼被盜,何麗賬號下的用戶名、預留的手機號碼已統統更改為她不認識的號碼和資料。

  在何麗的要求下,噹噹網客服幫助其將自己原來的資料移動到新註冊的郵箱底下。重新進入原有賬戶後,何麗發現,賬戶原有的15元現金也被消費完。

  依照訂單顯示的詳情,所購貨品為兩包嬰兒紙尿片,寄送到深圳的某一地點,訂單中顯示有手機號,不過何麗撥打過去卻顯示為關機狀態。

  其實,此次並非噹噹網用戶第一次遭遇盜號事件。早在2012年初,噹噹網就被爆出大量用戶賬號被盜。當時,噹噹網對媒體給出的解釋是源於CSDN網站數千萬用戶密碼被洩露。

  2011年年底,程式員網站CSDN、天涯社區出現大規模的用戶數據洩露事件,超過5000萬個用戶賬號和密碼在網上公開擴散。由於很多用戶習慣在不同網站使用相同的賬戶密碼,給不法分子留下了可乘之機。不僅噹噹網被波及,京東、一號店等電商也集中爆發禮品卡盜刷事件。

  2014年3月,噹噹網再次被爆出用戶賬戶餘額被盜事件,噹噹網對此發佈公告稱,此次賬號餘額被盜事件是由於其WAP端存在安全漏洞所引起的,噹噹也承諾由此造成的消費者損失,會由公司先行賠付。

  此次何麗在發現賬號被盜後,在向警方報案的同時,也聯繫了噹噹網客服進行投訴。

  6月19日,噹噹網公關總監徐淳在回復法治週末記者採訪時也證實:何麗的郵箱被盜是出現此事件的原因。

  “經過公司內部核查,何麗的賬號在今年3月底被盜,賬號被盜原因可能為用戶郵箱被盜所致,建議用戶報警。”徐淳介紹,關於盜用者的資訊,噹噹網也在追查中,並會積極配合警方調查。

  僅用郵箱變更賬號資訊已滯後

  法治週末記者了解到,近段時間以來,噹噹網用戶中遭遇賬號被盜、賬戶內禮品卡被盜刷的不僅是何麗一人。

  今年3月,一名“王差飛向月球”的微網志用戶,在微網志上也反映:自己在未收到短信提示的情況下賬戶內資料被更改、禮品卡內1500元也被用光。當時,他還將自己的遭遇@了“噹噹網”和“噹噹李國慶”。另據媒體報道,今年5月,在杭州濱江一家證券公司上班的朱小姐,禮品卡內1300余元也被盜刷……

  讓何麗頗為困惑的是,自己重新登錄噹噹賬戶後,發現郵箱和手機號碼等重要資料的篡改,全部通過郵箱完成,自己綁定的手機號碼並未收到任何提醒。

  “平時在噹噹網的消費和充值情況,手機都會收到短信,但盜號者盜用賬號、修改手機號時,我的手機卻沒有收到任何提醒警示或者驗證。所以我認為,這是噹噹網流程和系統設置的一個大漏洞。”何麗認為,正是噹噹網在身份認證機制上的缺陷,才使得自己發生了損失。

  不過,何麗告訴法治週末記者,噹噹網客服人員否認網站存有缺陷,也拒絕承擔任何責任。

  那麼由郵箱申請賬號後,單純通過郵箱變更電商賬號內所有資訊是否屬於行業通行的做法呢?

  獵豹移動安全專家李鐵軍在接受法治週末記者採訪時表示,之前,網際網路服務提供者主要通過用戶名和密碼確認登錄者的身份,變更一般也通過認證的郵箱來進行。

  不過,李鐵軍表示,隨著網際網路上拖庫(指駭客攻擊網站漏洞,竊取包含用戶註冊郵箱和密碼的數據庫)、撞庫事件(駭客將數據庫聚合在一起,專門針對知名電商網站自動化批量登錄)的接連發生,大約從2013年開始,支付寶等第三方支付機構在驗證用戶身份時啟用了賬戶密碼和手機短信驗證的雙重驗證體系,近一兩年來開始擴展至B2C電商平臺。

  “對於電商平臺等具有交易屬性的網站,尤其是綁定有支付卡的網站而言,如果目前還沒有開通綁定手機號的驗證功能,説明其在網路安全措施上還不到位。”李鐵軍説。

  李鐵軍認為,對於賬號出現的異常登錄、賬戶個人資訊的重大變更,如變更收貨地址等,電商平臺都應當增加手機驗證的方式,以此確保用戶的賬號使用安全。

  法治週末記者在採訪中了解到,一些電商平臺如淘寶網,如果用戶要修改密碼或者進行其他事項的變更,為了保障賬戶安全,在進行變更前都需要確認對方身份,如果賬戶綁定了手機,則優先進行手機校驗;若未綁定則可以選擇登錄郵箱進行校驗。

  變更賬戶機制被指不合理

  網上交易保障中心副主任喬聰軍認為,噹噹網的這種認證邏輯存有缺陷。他向法治週末記者介紹,一般情況下,如果用戶要變更原來的手機號碼等資料資訊,是需要給原來的手機號碼發送驗證碼,以確保該變更是在原用戶的掌控下所進行的操作,“否則綁定手機號就變得沒有意義,只是一種擺設”。

  6月18日,法治週末記者以用戶身份致電噹噹網客服,一位男性客服人員告訴記者,如果客戶是以手機號碼申請的噹噹網賬號,那麼要對賬戶資訊進行變更必須通過手機進行驗證;如果是以郵箱申請的賬號,在用戶通過安全中心綁定了手機的情況下,噹噹網會提供郵箱驗證和手機驗證兩種方式,用戶選擇其中一種即可。

  該客服人員稱,如果用戶以郵箱申請噹噹網賬號後,賬戶密碼還同原來的郵箱密碼保持一致,就會存有非常高的風險,容易使不法分子通過郵箱驗證的方式,變更其所有的資訊。

  何麗告訴法治週末記者,其最初的噹噹賬號密碼同郵箱密碼並不相同,而是存在明顯的差異。此次事件後,她又以QQ郵箱重新申請了一個新的噹噹賬號,也綁定了手機號,但是客服人員仍然告訴她,即使綁定,也可以選擇通過郵箱更改所有資料。

  何女士認為,在綁定手機號的情況下,還可以單純通過郵箱進行變更,這樣的認證方式缺乏合理性,也讓變更者缺乏制約。

  法治週末記者也就該問題採訪了徐淳。徐淳表示,噹噹網對客戶的賬號安全有嚴密的保護措施,包括郵箱驗證、手機驗證等身份驗證方式,不過對於何麗遭遇的情形,其需要同技術部門溝通查詢更多資訊。截至記者發稿,噹噹網方面未就該問題作出回應。

  對此,李鐵軍認為,即使密碼不同,只要不法分子掌握用戶的郵箱和密碼,就可以像何麗一樣,通過“找回密碼”的方式登錄平臺賬號,修改相關資訊,同時關聯到自己的手機上。因此李鐵軍認為,在綁定手機號的情形下,僅通過認證郵箱就可以變更所有用戶資料的做法是欠妥當的。

  電商平臺應盡更高注意義務

  對於噹噹網的認證機制,喬聰軍也認為,相對於普通用戶,電商平臺更應知曉不同驗證方式對應的風險等級,尤其是此前噹噹網出現了多起用戶賬號被盜事件,出於保護消費者權益的考慮,在用戶原賬號資訊作出重大變更時,應當通過多重方式進行驗證和告知,手機短信驗證應該成為提示的“標配”。

  “打個比方,用戶用郵箱申請的賬戶及密碼相當於家庭中的防盜門,綁定手機號的用戶資金賬戶是屋內的木門,一般來説兩個門都要有鑰匙,而且是不同的鑰匙。如果用戶不慎丟失了防盜門的鑰匙,通過木門的鑰匙也能防止資金賬戶被盜刷,而非單純通過一個郵箱就打開了所有的門。”喬聰軍説。

  中國電子商務政策法律委員會副主任劉春泉在接受法治週末記者採訪時表示,我國消費者權益保護法規定了企業負有確保消費者資訊安全的義務,作為企業應當採取技術和其他必要措施,防止消費者個人資訊洩露、丟失,“不過要想讓企業絕對地保障安全,這是做不到的”。

  不過,劉春泉認為,如果是基於現有認識水準可以預料到這種瑕疵或者漏洞、但不予改進,那就是有過錯,如果因為這種瑕疵或者漏洞對用戶造成損失,那麼電商平臺就應當承擔一定的責任。

  喬聰軍認為,在網際網路資訊安全事件頻發的背景下,作為網際網路服務提供商,應當認真梳理身份認證的邏輯,加大資訊安全方面的投入,切實保障消費者的權益。

  此外,李鐵軍對記者介紹,很多用戶在網際網路上使用同一套用戶名和密碼,“這種做法的危險性是非常高的,被盜幾乎是一定的,只是時間早晚的問題”。

  李鐵軍介紹,如果用戶在不同網站都使用相同的註冊郵箱和密碼,一旦有一家網站被駭客拖庫,不法分子就會批量嘗試去其他網站登錄,即進行撞庫,一旦撞庫成功,不法分子就會獲取用戶更多的個人資訊,或用於竊取賬戶金額,或者用於實施詐騙。

  為此,李鐵軍建議消費者,對於有交易屬性的網購平臺的用戶名和密碼盡可能保證唯一性,不要與郵箱密碼或者其他網站的登錄資訊一致。此外,如果認為某電商平臺的安全保障措施欠缺,李鐵軍建議消費者不要綁定銀行卡或第三方支付賬號,以免遭受更大的損失。

熱圖一覽

  • 股票名稱 最新價 漲跌幅