新聞源 財富源

2024年06月18日 星期二

財經 > 産經 > 公司新聞 > 正文

字號:  

"美麗説"用戶資訊洩露受騙 網站曾曝高危安全漏洞

  • 發佈時間:2015-01-15 15:18:04  來源:中國網財經  作者:甄鼎丞  責任編輯:馬藝文

  中國網財經1月15日訊(記者 甄鼎丞) 國內電商網站“美麗説”曝出用戶資訊洩露事件。近日,多位“美麗説”用戶向中國網財經記者反映,其用戶資訊、訂單資訊和支付資訊遭洩露,騙子正在利用這些個人資訊進行詐騙。而被騙金額最多的受害者,被騙走5萬餘元,受害者中不乏無穩定收入的學生。

  對此,“美麗説”負責人表示“經過排查,資訊洩露的原因並不在我們網站。”

  但值得注意的是,去年8月,漏洞公佈平臺烏雲網曾發佈“美麗説”網站高危安全漏洞,“美麗説”方面卻選擇忽略。網路安全專家龔蔚認為,此次用戶資訊洩露與上述漏洞或存在聯繫。

  多位“美麗説”用戶受騙

  據受騙者裘小姐介紹,2014年12月31日接到號碼為4000800577(美麗説客服電話)的來電,對方聲稱是“美麗説”客服人員,準確地説出了她的姓名、電話、地址、購買商品資訊,以及支付方式。

  “客服”表示,新員工因為整理資料失誤,把用戶加入批發商名單,然後每個月會從用戶銀行裏面扣除500元,扣12個月,並詢問是否需要取消。

  裘小姐確認取消的幾分鐘後,接到了自稱是農業銀行的電話。騙子假裝農行人員,要求他去農行ATM,按照其的指令進行取消。但實際操作卻是,讓裘小姐將卡裏的錢轉賬給指定賬戶。

  事後,裘小姐就意識到可能被騙了,但為時已晚。“他們説得特別專業,比銀行人員還專業,當時我腦袋轉不過彎,錢就一下子沒了。”裘小姐表示。

  同時,在微網志中也有眾多網友反應了與裘小姐相似的被騙經歷。記者採訪到了其中7位受害者,網友“一鹿隨鹿”被騙金額最多,共計5萬餘元。受害者中,有多位是還在上學的學生。目前,受害者已報警。

  對此,“美麗説”客服表示,用戶接到的客戶電話是偽造的,並非真正的客服電話,最近接到多起此類詐騙投訴的反饋。

  但當中國網財經記者問起反饋的具體數量時,“美麗説”相關負責人以“正在協助公安機關調查”為由,謝絕回答。

  工程師忽略網站高危漏洞?

  追悔之餘,用戶最為氣憤的是“為何騙子能掌握其準確的個人資訊、訂單資訊和支付資訊?”,並質疑“美麗説”網站洩露了這些資訊。

  對於質疑,“美麗説”相關負責人解釋稱“經過排查,資訊洩露不是我們網站安全的原因。但我們還在配合公安機關調查,所以證據也沒有辦法向外公佈。”

  然而,這種説法似乎並不得到業內人士的信任。

  2014年8月11日,漏洞公佈平臺烏雲網稱發佈高危安全漏洞——《美麗説主庫SQL及N多root許可權數據庫配置資訊洩露》。漏洞發佈者稱此漏洞可導致獲得企業各種數據庫。

  著名網路安全專家龔蔚也證實了此漏洞的真實性。“域名下的數據庫最高許可權和全部數據庫,都被獲取。”龔蔚向中國網財經記者表示,“據判斷,美麗説主站上有一個存放配置文件的目錄,文件裏就有連結數據庫的密碼、地址、端口等資訊。但這個文件沒有加訪問許可權,還是明文顯示,致使不該看到的人看到了(配置)。”

  “這是一個低級的漏洞。”龔蔚看來。

  然而,就是這樣一個“低級的漏洞”,美麗説網站工程師當時的回復卻是“無影響 廠商忽略”。

  對此,“美麗説”方面拒絕置評。

  據官網介紹,“美麗説”網站擁有超過1億的註冊用戶。

  “對於輕視用戶安全的企業,被曝出問題是遲早現象。”龔蔚認為。

  律師:可要求賠償

  按照《網路交易管理辦法》第十八條規定:網路商品經營者、有關服務經營者應當採取技術措施和其他必要措施,確保資訊安全,防止資訊洩露、丟失。在發生或者可能發生資訊洩露、丟失的情況時,應當立即採取補救措施。

  那麼,因用戶資訊洩露而被騙的受害者,可否要求企業進行賠償?

  “首先要分清楚,是主觀故意洩露,還是技術漏洞導致。如果是第一種情況,很有可能構成犯罪。因為刑法裏對獲取個人資訊進行牟利的行為有專門的規定。但由於技術原因或是網路攻擊導致的,法律上是沒有明確的賠償比例。需要根據具體表現,由法院綜合進行裁量。”浙江金道律師事務所張延來律師向中國網財經記者表示。

  在張律師看來,如果“美麗説”在保護措施上非常不完備,未達到同行業的標準,有明顯的漏洞的話,那麼可要求其承擔相應的法律責任。

  同時,張律師也對受害者給出建議,“對於當事人,最重要的就是證據。首先,要證明與美麗説之間是有資訊採集關係。其次,證明企業出現這樣的漏洞,而漏洞導致了資訊洩露。第三,證明因為資訊洩露給當事人帶來怎樣的損失。要盡可能提供充分的證據,然後尋求專業人士的幫助進行維權。”

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅