摘要: 1號店使用者資訊洩露事件還未散盡,當當網近日也因資訊安全工作不到位受到使用者質疑。 昨日(6月14日),有使用者稱,其購進的10張面值500元 當當網禮品卡,被盜充盜用。 在使用者要求凍結帳
1號店「使用者資訊洩露」事件還未散盡,當當網近日也因資訊安全工作不到位受到使用者質疑。
昨日(6月14日),有使用者稱,其購進的10張面值500元 「當當網禮品卡」,被盜充盜用。 在使用者要求凍結帳戶以免發生損失時,當當網客服在跟進過程中並未及時凍結帳戶,致使使用者蒙受約1000元損失。
隨後,《每日經濟新聞》記者致電當當網,其相關負責人表示,此事正在跟進和調查中,目前使用者帳戶已經凍結,並且業已告知使用者。
對此,IT法律人士趙佔領表示,禮品卡的帳號、密碼發到使用者的註冊帳戶內卻不能使用,主要有兩種可能:一是網站所交付的禮品卡本身就不能使用;二是註冊帳戶被盜導致其中的禮品卡被盜充。 因此,當當網應當賠償相應損失。 當前,部分電商對使用者帳戶安全不夠重視,需要引起行業注意。
使用者:帳戶安全體系存缺陷
當當網使用者林雨(化名)告訴《每日經濟新聞》記者,其6月6日在當當網購買了10張500元禮品卡。 由於購買時當當網並未清晰說明是以實物卡還是電子形式給予卡號和密碼,直至6月11日仍未收到實物卡,僅收到發票。 其隨即致電客服,客服稱以電子形式給出,不是郵箱就是帳戶,林雨最終在帳戶中看到了10張卡的卡號和密碼。
隨後,林雨把禮品卡的卡號、密碼發給同事,然而意外發生了,這些卡都不能使用(卡號和密碼不符)。 林雨趕緊致電當當網客服部,客服人員在接到投訴後稱,後臺看到卡號早已在6月10日被人啟動。 在林雨表示並非自己啟動後,客服人員稱稍後回復便沒有了音訊。
6月12日,林雨再次致電當當網,要求凍結其已被啟動的卡號和帳戶,以避免不必要的損失。 工作人員在表示可以先處理後,同上次一樣沒了下文。 等林雨再次致電時,卻被告知卡內金額已被陸續使用,這已是發現問題的第三天。
對此,林雨認為,當當網作為一個電子商務網站,在資金交易上沒有很好的安全體系,也沒有很好的安全管理制度,比如對使用者進行確認。 當當網的回應機制比較慢,對於使用者的訴求不能作出及時跟進,連使用者舉報帳戶被盜,要求凍結帳戶,當當網都無法做到。
當當網:正在跟進和調查
林雨向《每日經濟新聞》記者表示,5000元畢竟不是小數,還因此報了警。 最令人不解的是,客服在與她溝通時,還表示這樣的問題並非個案,唯一不同的是,此次金額較大而已。
對於林雨的質疑,當當網相關負責人表示,此事正在跟進和調查中,目前使用者帳戶已經凍結,並且業已告知使用者。
此外,當當網進一步表示,當當網在技術上除凍結帳戶餘額外,還建立當當網使用者安全中心,提示使用者密碼安全級別,以及相應採取的措施以加強使用者資訊安全。 同時,升級註冊登錄的安全監控機制,遏制刷庫行為。 此外,加大安全團隊、安全設施的投入,以提升整體使用者資訊安全。 被盜事件再次發生應該是帳號被刷庫者盜用,跟有無資訊洩露沒有關系。 使用者資訊安全事關使用者對當當網的信任,當當網極為重視。 除以上的安全團隊、安全設施以外,當當網還設立了專門的anti-fraud團隊。
律師:當當網應賠償相應損失
對此,趙佔領向《每日經濟新聞》記者表示,禮品卡的帳號、密碼發到使用者的註冊帳戶內卻不能使用,主要有兩種可能:1、網站所交付的禮品卡本身就不能使用,應該是監守自盜,這種情況下網站沒有按照訂單約定交付禮品卡,需要承擔違約責任; 2、使用者註冊帳戶被盜導致其中的禮品卡被盜充。 首先,網站與使用者之間通過使用者協定建立服務合同關係,網站應該採取必要的技術和管理措施以保障使用者註冊帳戶的安全,否則應該承擔違約責任。 其次,註冊帳戶被盜,可能是網站的過錯所致,比如沒有盡到安全保障義務導致使用者資訊被駭客盜取,也可能是使用者自己疏忽所致。 具體原因尚不完全清楚,當當網需要進行調查並給出明確解釋,如果是網站過錯所致,此事應該不會是個案。
趙佔領進一步表示,不管什麼原因導致使用者帳戶被盜,在接到使用者投訴後網站都應及時處理防止損失擴大,況且被盜禮品卡有具體編號並需要在網站上消費,網站完全有能力凍結被盜的禮品卡。 因此,網站應該對使用者損失承擔賠償責任,既包括退回尚未沒有消費的禮品卡,也包括已經消費的部分。
「網站還是不夠重視,或者覺得投入大量資金維護資訊安全得不償失。 」趙佔領認為,交付到註冊帳戶內的禮品卡確實有安全隱患,相對還是交付實物卡更加安全,但是交付實物卡會增加物流成本,也難以做到高效及時,與電子商務的本質特徵相違背。 所以今後應該還是以直接交付卡號、密碼為主,這對網站的資訊安全要求很高,目前不少網站在這方面做得遠遠不夠。 而中國軟體評測中心的調查也顯示,在CSDN(中國開發者技術線上社區)使用者資料洩露事件之後,仍有很多網站明文保存密碼。
有業內人士認為,當當網沒有提及卡的發放形式,這樣確實會造成使用者的不便,沒有盡到告知義務。 由於企業較大,部門與部門之間的回應、配合上較慢。
此外,中國電子商務研究中心網路導購與維權專家姚建芳稱,目前是互聯網比較混亂的時期,本身安全係數就不高,若企業以電子禮品卡的形式發放,容易遭遇駭客的侵襲並導致使用者資訊完全裸露。