當(dāng)當(dāng)網(wǎng)安全認證形同虛設(shè):賬戶被盜余額不翼而飛
2015年06月24日 10:36
來源:法治周末
近日,當(dāng)當(dāng)網(wǎng)用戶何麗就遭遇了上述事件。雖然根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說法,這是郵箱密碼泄露所招致的被盜,不過對于這樣的回應(yīng),何麗并不能接受。她認為,明明自己已經(jīng)綁定了手機號,黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額,也就是說,手機號綁定這一安全措施形同虛設(shè),難道當(dāng)當(dāng)網(wǎng)沒有一點責(zé)任?
原標(biāo)題:賬戶被盜拷問當(dāng)當(dāng)網(wǎng)安全認證
網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛,而用戶綁定的手機卻從未收到過任何提示短信。
近日,當(dāng)當(dāng)網(wǎng)用戶何麗就遭遇了上述事件。雖然根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說法,這是郵箱密碼泄露所招致的被盜,不過對于這樣的回應(yīng),何麗并不能接受。她認為,明明自己已經(jīng)綁定了手機號,黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額,也就是說,手機號綁定這一安全措施形同虛設(shè),難道當(dāng)當(dāng)網(wǎng)沒有一點責(zé)任?
“不排除當(dāng)當(dāng)網(wǎng)在安全認證邏輯上存有瑕疵。”業(yè)內(nèi)人士告訴法治周末記者,盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對的安全,但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下,作為互聯(lián)網(wǎng)服務(wù)提供商,應(yīng)該在現(xiàn)有認知水平范圍內(nèi)認真梳理公司的安全保障機制,這是對用戶應(yīng)盡的保護義務(wù)。
禮品卡和現(xiàn)金余額都不翼而飛
5月27日,來自廣州的用戶何麗在登錄當(dāng)當(dāng)網(wǎng)時,網(wǎng)站提示:賬號密碼錯誤。起初,何麗以為是兩個月未登錄該賬戶,忘記了密碼,便通過當(dāng)初認證的郵箱上嘗試找回密碼。
不過,當(dāng)她找回密碼重新登錄后,卻發(fā)現(xiàn)自己在當(dāng)當(dāng)網(wǎng)賬號下的原有禮品卡余額由應(yīng)有的359元變?yōu)?,原先的訂單信息也全部消失。“我的賬號雖然還在,但卻已經(jīng)變成了空賬號。”
5月28日,何麗聯(lián)系當(dāng)當(dāng)網(wǎng)客服人員,要求由其查證被盜原因并恢復(fù)自己賬號中的資料。隨后,客服人員告知其賬號被盜的原因是何麗自己的郵箱賬號及密碼被盜,何麗賬號下的用戶名、預(yù)留的手機號碼已統(tǒng)統(tǒng)更改為她不認識的號碼和資料。
在何麗的要求下,當(dāng)當(dāng)網(wǎng)客服幫助其將自己原來的資料移動到新注冊的郵箱底下。重新進入原有賬戶后,何麗發(fā)現(xiàn),賬戶原有的15元現(xiàn)金也被消費完。
依照訂單顯示的詳情,所購貨品為兩包嬰兒紙尿片,寄送到深圳的某一地點,訂單中顯示有手機號,不過何麗撥打過去卻顯示為關(guān)機狀態(tài)。
其實,此次并非當(dāng)當(dāng)網(wǎng)用戶第一次遭遇盜號事件。早在2012年初,當(dāng)當(dāng)網(wǎng)就被爆出大量用戶賬號被盜。當(dāng)時,當(dāng)當(dāng)網(wǎng)對媒體給出的解釋是源于CSDN網(wǎng)站數(shù)千萬用戶密碼被泄露。
2011年年底,程序員網(wǎng)站CSDN、天涯社區(qū)出現(xiàn)大規(guī)模的用戶數(shù)據(jù)泄露事件,超過5000萬個用戶賬號和密碼在網(wǎng)上公開擴散。由于很多用戶習(xí)慣在不同網(wǎng)站使用相同的賬戶密碼,給不法分子留下了可乘之機。不僅當(dāng)當(dāng)網(wǎng)被波及,京東、一號店等電商也集中爆發(fā)禮品卡盜刷事件。
2014年3月,當(dāng)當(dāng)網(wǎng)再次被爆出用戶賬戶余額被盜事件,當(dāng)當(dāng)網(wǎng)對此發(fā)布公告稱,此次賬號余額被盜事件是由于其WAP端存在安全漏洞所引起的,當(dāng)當(dāng)也承諾由此造成的消費者損失,會由公司先行賠付。
此次何麗在發(fā)現(xiàn)賬號被盜后,在向警方報案的同時,也聯(lián)系了當(dāng)當(dāng)網(wǎng)客服進行投訴。
6月19日,當(dāng)當(dāng)網(wǎng)公關(guān)總監(jiān)徐淳在回復(fù)法治周末記者采訪時也證實:何麗的郵箱被盜是出現(xiàn)此事件的原因。
“經(jīng)過公司內(nèi)部核查,何麗的賬號在今年3月底被盜,賬號被盜原因可能為用戶郵箱被盜所致,建議用戶報警。”徐淳介紹,關(guān)于盜用者的信息,當(dāng)當(dāng)網(wǎng)也在追查中,并會積極配合警方調(diào)查。
僅用郵箱變更賬號信息已滯后
法治周末記者了解到,近段時間以來,當(dāng)當(dāng)網(wǎng)用戶中遭遇賬號被盜、賬戶內(nèi)禮品卡被盜刷的不僅是何麗一人。
今年3月,一名“王差飛向月球”的微博用戶,在微博上也反映:自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。當(dāng)時,他還將自己的遭遇@了“當(dāng)當(dāng)網(wǎng)”和“當(dāng)當(dāng)李國慶”。另據(jù)媒體報道,今年5月,在杭州濱江一家證券公司上班的朱小姐,禮品卡內(nèi)1300余元也被盜刷……
讓何麗頗為困惑的是,自己重新登錄當(dāng)當(dāng)賬戶后,發(fā)現(xiàn)郵箱和手機號碼等重要資料的篡改,全部通過郵箱完成,自己綁定的手機號碼并未收到任何提醒。
“平時在當(dāng)當(dāng)網(wǎng)的消費和充值情況,手機都會收到短信,但盜號者盜用賬號、修改手機號時,我的手機卻沒有收到任何提醒警示或者驗證。所以我認為,這是當(dāng)當(dāng)網(wǎng)流程和系統(tǒng)設(shè)置的一個大漏洞。”何麗認為,正是當(dāng)當(dāng)網(wǎng)在身份認證機制上的缺陷,才使得自己發(fā)生了損失。
不過,何麗告訴法治周末記者,當(dāng)當(dāng)網(wǎng)客服人員否認網(wǎng)站存有缺陷,也拒絕承擔(dān)任何責(zé)任。
那么由郵箱申請賬號后,單純通過郵箱變更電商賬號內(nèi)所有信息是否屬于行業(yè)通行的做法呢?
獵豹移動安全專家李鐵軍在接受法治周末記者采訪時表示,之前,互聯(lián)網(wǎng)服務(wù)提供者主要通過用戶名和密碼確認登錄者的身份,變更一般也通過認證的郵箱來進行。
不過,李鐵軍表示,隨著互聯(lián)網(wǎng)上拖庫(指黑客攻擊網(wǎng)站漏洞,竊取包含用戶注冊郵箱和密碼的數(shù)據(jù)庫)、撞庫事件(黑客將數(shù)據(jù)庫聚合在一起,專門針對知名電商網(wǎng)站自動化批量登錄)的接連發(fā)生,大約從2013年開始,支付寶等第三方支付機構(gòu)在驗證用戶身份時啟用了賬戶密碼和手機短信驗證的雙重驗證體系,近一兩年來開始擴展至B2C電商平臺。
“對于電商平臺等具有交易屬性的網(wǎng)站,尤其是綁定有支付卡的網(wǎng)站而言,如果目前還沒有開通綁定手機號的驗證功能,說明其在網(wǎng)絡(luò)安全措施上還不到位。”李鐵軍說。
李鐵軍認為,對于賬號出現(xiàn)的異常登錄、賬戶個人信息的重大變更,如變更收貨地址等,電商平臺都應(yīng)當(dāng)增加手機驗證的方式,以此確保用戶的賬號使用安全。
法治周末記者在采訪中了解到,一些電商平臺如淘寶網(wǎng),如果用戶要修改密碼或者進行其他事項的變更,為了保障賬戶安全,在進行變更前都需要確認對方身份,如果賬戶綁定了手機,則優(yōu)先進行手機校驗;若未綁定則可以選擇登錄郵箱進行校驗。
相關(guān)新聞:
網(wǎng)羅天下
頻道推薦
智能推薦
圖片新聞
視頻
-
滕醉漢醫(yī)院耍酒瘋 對醫(yī)生大打出手
播放數(shù):1133929
-
西漢海昏侯墓出土大量竹簡木牘 填史料空缺
播放數(shù):4135875
-
電話詐騙44萬 運營商被判賠償
播放數(shù):2845975
-
被擊落戰(zhàn)機殘骸畫面首度公布
播放數(shù):535774













