當當網安全認證形同虛設：賬戶被盜余額不翼而飛

變更賬戶機制被指不合理

網上交易保障中心副主任喬聰軍認為，當當網的這種認證邏輯存有缺陷。他向法治周末記者介紹，一般情況下，如果用戶要變更原來的手機號碼等資料信息，是需要給原來的手機號碼發送驗證碼，以確保該變更是在原用戶的掌控下所進行的操作，“否則綁定手機號就變得沒有意義，只是一種擺設”。

6月18日，法治周末記者以用戶身份致電當當網客服，一位男性客服人員告訴記者，如果客戶是以手機號碼申請的當當網賬號，那么要對賬戶信息進行變更必須通過手機進行驗證；如果是以郵箱申請的賬號，在用戶通過安全中心綁定了手機的情況下，當當網會提供郵箱驗證和手機驗證兩種方式，用戶選擇其中一種即可。

該客服人員稱，如果用戶以郵箱申請當當網賬號后，賬戶密碼還同原來的郵箱密碼保持一致，就會存有非常高的風險，容易使不法分子通過郵箱驗證的方式，變更其所有的信息。

何麗告訴法治周末記者，其最初的當當賬號密碼同郵箱密碼并不相同，而是存在明顯的差異。此次事件后，她又以QQ郵箱重新申請了一個新的當當賬號，也綁定了手機號，但是客服人員仍然告訴她，即使綁定，也可以選擇通過郵箱更改所有資料。

何女士認為，在綁定手機號的情況下，還可以單純通過郵箱進行變更，這樣的認證方式缺乏合理性，也讓變更者缺乏制約。

法治周末記者也就該問題采訪了徐淳。徐淳表示，當當網對客戶的賬號安全有嚴密的保護措施，包括郵箱驗證、手機驗證等身份驗證方式，不過對于何麗遭遇的情形，其需要同技術部門溝通查詢更多信息。截至記者發稿，當當網方面未就該問題作出回應。

對此，李鐵軍認為，即使密碼不同，只要不法分子掌握用戶的郵箱和密碼，就可以像何麗一樣，通過“找回密碼”的方式登錄平臺賬號，修改相關信息，同時關聯到自己的手機上。因此李鐵軍認為，在綁定手機號的情形下，僅通過認證郵箱就可以變更所有用戶資料的做法是欠妥當的。

電商平臺應盡更高注意義務

對于當當網的認證機制，喬聰軍也認為，相對于普通用戶，電商平臺更應知曉不同驗證方式對應的風險等級，尤其是此前當當網出現了多起用戶賬號被盜事件，出于保護消費者權益的考慮，在用戶原賬號信息作出重大變更時，應當通過多重方式進行驗證和告知，手機短信驗證應該成為提示的“標配”。

“打個比方，用戶用郵箱申請的賬戶及密碼相當于家庭中的防盜門，綁定手機號的用戶資金賬戶是屋內的木門，一般來說兩個門都要有鑰匙，而且是不同的鑰匙。如果用戶不慎丟失了防盜門的鑰匙，通過木門的鑰匙也能防止資金賬戶被盜刷，而非單純通過一個郵箱就打開了所有的門。”喬聰軍說。

中國電子商務政策法律委員會副主任劉春泉在接受法治周末記者采訪時表示，我國消費者權益保護法規定了企業負有確保消費者信息安全的義務，作為企業應當采取技術和其他必要措施，防止消費者個人信息泄露、丟失，“不過要想讓企業絕對地保障安全，這是做不到的”。

不過，劉春泉認為，如果是基于現有認識水平可以預料到這種瑕疵或者漏洞、但不予改進，那就是有過錯，如果因為這種瑕疵或者漏洞對用戶造成損失，那么電商平臺就應當承擔一定的責任。

喬聰軍認為，在互聯網信息安全事件頻發的背景下，作為互聯網服務提供商，應當認真梳理身份認證的邏輯，加大信息安全方面的投入，切實保障消費者的權益。

此外，李鐵軍對記者介紹，很多用戶在互聯網上使用同一套用戶名和密碼，“這種做法的危險性是非常高的，被盜幾乎是一定的，只是時間早晚的問題”。

李鐵軍介紹，如果用戶在不同網站都使用相同的注冊郵箱和密碼，一旦有一家網站被黑客拖庫，不法分子就會批量嘗試去其他網站登錄，即進行撞庫，一旦撞庫成功，不法分子就會獲取用戶更多的個人信息，或用于竊取賬戶金額，或者用于實施詐騙。

為此，李鐵軍建議消費者，對于有交易屬性的網購平臺的用戶名和密碼盡可能保證唯一性，不要與郵箱密碼或者其他網站的登錄信息一致。此外，如果認為某電商平臺的安全保障措施欠缺，李鐵軍建議消費者不要綁定銀行卡或第三方支付賬號，以免遭受更大的損失。