當當網安全認證形同虛設：賬戶被盜余額不翼而飛

原標題：賬戶被盜拷問當當網安全認證

網站賬戶里原本應有的禮品卡和余額不翼而飛，而用戶綁定的手機卻從未收到過任何提示短信。

近日，當當網用戶何麗就遭遇了上述事件。雖然根據當當網客服人員的說法，這是郵箱密碼泄露所招致的被盜，不過對于這樣的回應，何麗并不能接受。她認為，明明自己已經綁定了手機號，黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額，也就是說，手機號綁定這一安全措施形同虛設，難道當當網沒有一點責任？

“不排除當當網在安全認證邏輯上存有瑕疵。”業內人士告訴法治周末記者，盡管互聯網企業難以保障絕對的安全，但是在網絡安全事件頻發的大背景下，作為互聯網服務提供商，應該在現有認知水平范圍內認真梳理公司的安全保障機制，這是對用戶應盡的保護義務。

禮品卡和現金余額都不翼而飛

5月27日，來自廣州的用戶何麗在登錄當當網時，網站提示：賬號密碼錯誤。起初，何麗以為是兩個月未登錄該賬戶，忘記了密碼，便通過當初認證的郵箱上嘗試找回密碼。

不過，當她找回密碼重新登錄后，卻發現自己在當當網賬號下的原有禮品卡余額由應有的359元變為0，原先的訂單信息也全部消失。“我的賬號雖然還在，但卻已經變成了空賬號。”

5月28日，何麗聯系當當網客服人員，要求由其查證被盜原因并恢復自己賬號中的資料。隨后，客服人員告知其賬號被盜的原因是何麗自己的郵箱賬號及密碼被盜，何麗賬號下的用戶名、預留的手機號碼已統統更改為她不認識的號碼和資料。

在何麗的要求下，當當網客服幫助其將自己原來的資料移動到新注冊的郵箱底下。重新進入原有賬戶后，何麗發現，賬戶原有的15元現金也被消費完。

依照訂單顯示的詳情，所購貨品為兩包嬰兒紙尿片，寄送到深圳的某一地點，訂單中顯示有手機號，不過何麗撥打過去卻顯示為關機狀態。

其實，此次并非當當網用戶第一次遭遇盜號事件。早在2012年初，當當網就被爆出大量用戶賬號被盜。當時，當當網對媒體給出的解釋是源于CSDN網站數千萬用戶密碼被泄露。

2011年年底，程序員網站CSDN、天涯社區出現大規模的用戶數據泄露事件，超過5000萬個用戶賬號和密碼在網上公開擴散。由于很多用戶習慣在不同網站使用相同的賬戶密碼，給不法分子留下了可乘之機。不僅當當網被波及，京東、一號店等電商也集中爆發禮品卡盜刷事件。

2014年3月，當當網再次被爆出用戶賬戶余額被盜事件，當當網對此發布公告稱，此次賬號余額被盜事件是由于其WAP端存在安全漏洞所引起的，當當也承諾由此造成的消費者損失，會由公司先行賠付。

此次何麗在發現賬號被盜后，在向警方報案的同時，也聯系了當當網客服進行投訴。

6月19日，當當網公關總監徐淳在回復法治周末記者采訪時也證實：何麗的郵箱被盜是出現此事件的原因。

“經過公司內部核查，何麗的賬號在今年3月底被盜，賬號被盜原因可能為用戶郵箱被盜所致，建議用戶報警。”徐淳介紹，關于盜用者的信息，當當網也在追查中，并會積極配合警方調查。

僅用郵箱變更賬號信息已滯后

法治周末記者了解到，近段時間以來，當當網用戶中遭遇賬號被盜、賬戶內禮品卡被盜刷的不僅是何麗一人。

今年3月，一名“王差飛向月球”的微博用戶，在微博上也反映：自己在未收到短信提示的情況下賬戶內資料被更改、禮品卡內1500元也被用光。當時，他還將自己的遭遇@了“當當網”和“當當李國慶”。另據媒體報道，今年5月，在杭州濱江一家證券公司上班的朱小姐，禮品卡內1300余元也被盜刷……

讓何麗頗為困惑的是，自己重新登錄當當賬戶后，發現郵箱和手機號碼等重要資料的篡改，全部通過郵箱完成，自己綁定的手機號碼并未收到任何提醒。

“平時在當當網的消費和充值情況，手機都會收到短信，但盜號者盜用賬號、修改手機號時，我的手機卻沒有收到任何提醒警示或者驗證。所以我認為，這是當當網流程和系統設置的一個大漏洞。”何麗認為，正是當當網在身份認證機制上的缺陷，才使得自己發生了損失。

不過，何麗告訴法治周末記者，當當網客服人員否認網站存有缺陷，也拒絕承擔任何責任。

那么由郵箱申請賬號后，單純通過郵箱變更電商賬號內所有信息是否屬于行業通行的做法呢？

獵豹移動安全專家李鐵軍在接受法治周末記者采訪時表示，之前，互聯網服務提供者主要通過用戶名和密碼確認登錄者的身份，變更一般也通過認證的郵箱來進行。

不過，李鐵軍表示，隨著互聯網上拖庫(指黑客攻擊網站漏洞，竊取包含用戶注冊郵箱和密碼的數據庫)、撞庫事件(黑客將數據庫聚合在一起，專門針對知名電商網站自動化批量登錄)的接連發生，大約從2013年開始，支付寶等第三方支付機構在驗證用戶身份時啟用了賬戶密碼和手機短信驗證的雙重驗證體系，近一兩年來開始擴展至B2C電商平臺。

“對于電商平臺等具有交易屬性的網站，尤其是綁定有支付卡的網站而言，如果目前還沒有開通綁定手機號的驗證功能，說明其在網絡安全措施上還不到位。”李鐵軍說。

李鐵軍認為，對于賬號出現的異常登錄、賬戶個人信息的重大變更，如變更收貨地址等，電商平臺都應當增加手機驗證的方式，以此確保用戶的賬號使用安全。

法治周末記者在采訪中了解到，一些電商平臺如淘寶網，如果用戶要修改密碼或者進行其他事項的變更，為了保障賬戶安全，在進行變更前都需要確認對方身份，如果賬戶綁定了手機，則優先進行手機校驗；若未綁定則可以選擇登錄郵箱進行校驗。