中國網財經1月15日訊(記者 甄鼎丞) 國內電商網站“美麗説”曝出用戶資訊洩露事件。近日，多位“美麗説”用戶向中國網財經記者反映，其用戶資訊、訂單資訊和支付資訊遭洩露，騙子正在利用這些個人資訊進行詐騙。而被騙金額最多的受害者，被騙走5萬餘元，受害者中不乏無穩定收入的學生。

　　對此，“美麗説”負責人表示“經過排查，資訊洩露的原因並不在我們網站。”

　　但值得注意的是，去年8月，漏洞公佈平臺烏雲網曾發佈“美麗説”網站高危安全漏洞，“美麗説”方面卻選擇忽略。網路安全專家龔蔚認為，此次用戶資訊洩露與上述漏洞或存在聯繫。

　　多位“美麗説”用戶受騙

　　據受騙者裘小姐介紹，2014年12月31日接到號碼為4000800577(美麗説客服電話)的來電，對方聲稱是“美麗説”客服人員，準確地説出了她的姓名、電話、地址、購買商品資訊，以及支付方式。

　　“客服”表示，新員工因為整理資料失誤，把用戶加入批發商名單，然後每個月會從用戶銀行裏面扣除500元，扣12個月，並詢問是否需要取消。

　　裘小姐確認取消的幾分鐘後，接到了自稱是農業銀行的電話。騙子假裝農行人員，要求他去農行ATM，按照其的指令進行取消。但實際操作卻是，讓裘小姐將卡裏的錢轉賬給指定賬戶。

　　事後，裘小姐就意識到可能被騙了，但為時已晚。“他們説得特別專業，比銀行人員還專業，當時我腦袋轉不過彎，錢就一下子沒了。”裘小姐表示。

　　同時，在微網志中也有眾多網友反應了與裘小姐相似的被騙經歷。記者採訪到了其中7位受害者，網友“一鹿隨鹿”被騙金額最多，共計5萬餘元。受害者中，有多位是還在上學的學生。目前，受害者已報警。

　　對此，“美麗説”客服表示，用戶接到的客戶電話是偽造的，並非真正的客服電話，最近接到多起此類詐騙投訴的反饋。

　　但當中國網財經記者問起反饋的具體數量時，“美麗説”相關負責人以“正在協助公安機關調查”為由，謝絕回答。

　　工程師忽略網站高危漏洞？

　　追悔之餘，用戶最為氣憤的是“為何騙子能掌握其準確的個人資訊、訂單資訊和支付資訊？”，並質疑“美麗説”網站洩露了這些資訊。

　　對於質疑，“美麗説”相關負責人解釋稱“經過排查，資訊洩露不是我們網站安全的原因。但我們還在配合公安機關調查，所以證據也沒有辦法向外公佈。”

　　然而，這種説法似乎並不得到業內人士的信任。

　　2014年8月11日，漏洞公佈平臺烏雲網稱發佈高危安全漏洞——《美麗説主庫SQL及N多root許可權數據庫配置資訊洩露》。漏洞發佈者稱此漏洞可導致獲得企業各種數據庫。

　　著名網路安全專家龔蔚也證實了此漏洞的真實性。“域名下的數據庫最高許可權和全部數據庫，都被獲取。”龔蔚向中國網財經記者表示，“據判斷，美麗説主站上有一個存放配置文件的目錄，文件裏就有連結數據庫的密碼、地址、端口等資訊。但這個文件沒有加訪問許可權，還是明文顯示，致使不該看到的人看到了(配置)。”

　　“這是一個低級的漏洞。”龔蔚看來。

　　然而，就是這樣一個“低級的漏洞”，美麗説網站工程師當時的回復卻是“無影響 廠商忽略”。

　　對此，“美麗説”方面拒絕置評。

　　據官網介紹，“美麗説”網站擁有超過1億的註冊用戶。

　　“對於輕視用戶安全的企業，被曝出問題是遲早現象。”龔蔚認為。

　　律師：可要求賠償

　　按照《網路交易管理辦法》第十八條規定：網路商品經營者、有關服務經營者應當採取技術措施和其他必要措施，確保資訊安全，防止資訊洩露、丟失。在發生或者可能發生資訊洩露、丟失的情況時，應當立即採取補救措施。

　　那麼，因用戶資訊洩露而被騙的受害者，可否要求企業進行賠償？

　　“首先要分清楚，是主觀故意洩露，還是技術漏洞導致。如果是第一種情況，很有可能構成犯罪。因為刑法裏對獲取個人資訊進行牟利的行為有專門的規定。但由於技術原因或是網路攻擊導致的，法律上是沒有明確的賠償比例。需要根據具體表現，由法院綜合進行裁量。”浙江金道律師事務所張延來律師向中國網財經記者表示。

　　在張律師看來，如果“美麗説”在保護措施上非常不完備，未達到同行業的標準，有明顯的漏洞的話，那麼可要求其承擔相應的法律責任。

　　同時，張律師也對受害者給出建議，“對於當事人，最重要的就是證據。首先，要證明與美麗説之間是有資訊採集關係。其次，證明企業出現這樣的漏洞，而漏洞導致了資訊洩露。第三，證明因為資訊洩露給當事人帶來怎樣的損失。要盡可能提供充分的證據，然後尋求專業人士的幫助進行維權。”