当当网重蹈京东商城覆辙。近日,当当网被曝发生用户账户盗刷事件。随后,当当网发布了官方声明称,当当网用户账户被盗刷与此前CSDN等众多互联网网站大量账户密码数据丢失有关。不过,业内专家认为,不少网站都允许用户将资金充入账户,而实际上这部分资金的监管责任全在网站,而网站的实力参差不齐,资金的安全很成问题。此次账户盗用事件规模不大,但究竟是什么原因,还有多种可能。
当当中招
公司证实:约100个账户被盗刷
当当网账号被盗的网友接二连三通过微博倒苦水。
微博名为“迷路精灵的青草地”的网友19日通过微博表示:刚收到当当短信说账户可能被盗,登上去一看里面200元礼品卡被盗买剩下38元。上网一查当当网数据库大规模泄密是去年12月底的事情,从1月开始用户陆续被盗,当当不但不给回复赔偿,而且没有发任何通知告知其他客户修改密码,直到现在3月下旬了才通知。
微博名为“桂志新2012”的网友更早遇到这样的问题,其3月16日在微博里提到:昨天上当当买书,发现我的账户登录不上去,系统提示是用户名不存在,我用了这么多年的账号,怎么可能用户名不存在?打电话给客服帮我查,才发现是账户被人盗用了。
记者从当当网的市场部相关人士处获悉,此次涉及的账户在100个左右,目前还不知道其中是否涉及江苏用户。该负责人表示,这些客户损失的资金从数十元到几百元不等,较大金额的情况非常少。
紧急措施:账户冻结 全额赔偿
3月20日,当当网发布了官方声明,其中表示,当当网用户账户被盗刷与此前CSDN等众多互联网网站大量账户密码数据丢失有关。经核实很多互联网用户习惯在不同网站上使用统一的账号和密码,由于2011年CSDN互联网泄密事件导致大量账户密码数据丢失,给不法分子留下了可乘之机。此外,为了用户账户及资金安全,当当网于3月19日至3月21日冻结用户当当网账户余额及礼品卡。在此期间,请当当网用户及时修改密码,如果发现账户登录异常或账户余额被盗用,请尽快致电当当网客服。而冻结之前发生的损失,当当网在经过审核之后将全额补偿。
当当网CEO李国庆也发微博解释说:“1月CSDN网站几千万用户密码被曝,窃贼最近在几家电商试用,用盗窃的余额购物。按法规公安要求受害顾客报案才立案。”
马上就访
南京暂未接到相关报警
“截至昨天晚上7点钟,南京暂未接到有关当当网的报警。”昨天,记者从南京警方获悉,此类警情暂未在南京出现。
不过警方表示,尽管当当网的警情没有出现,但在之前,类似的警情曾经多次发生过。去年,一家网购网站,市民孙女士就损失了数千元。警方调查后发现,原来,有黑客侵入了网站,盗取了孙女士的账号和密码,并用其账户内的钱款消费。警方表示,不少掌握技术的黑客,会一直盯着类似的网站,专门对一些防范较差的网站植入木马,盗取客户信息。还有一些不法人员,会用假网站冒充真网站,诱骗网民上当。
资金预存在网站风险大
在专家看来,在网站预存的资金都存在风险。而实际上,目前不少电子商务网站都可以进行充值,也鼓励客户充值,而资金放在账面上却很难控制潜在风险。
南京一家电子商务网站的负责人向记者透露:“现在很多网站都提供账户充值,包括很多团购网站,用户开了户之后,也鼓励客户向账户充值。”这位负责人表示,一方面,这部分资金对于网站来说是现金流,非常可贵;另一方面,这些愿意向网站充值的客户都是粘度较高的客户,他们是网站的重点客户,网站也非常看重他们。
至于如何保障资金的安全,上述负责人坦言,这个全靠网站自身力量。他说:“这个资金没有托管机构,不是放在银行的,不可能绝对安全,要看网站的管理、技术上的投入、重视程度等等,当然很难百分百安全。”
金山网络信息安全专家李铁军也表示,这部分资金的安全等级非常低,资金的安全与否完全仰仗网站。无论是当当网还是京东商城,这样的大网站有一定的实力,起码出了事赔付不成问题,如果是一些小网站,安全等级低不说,一旦出了事很可能连赔钱的能力都没有。
网站账号
为何会被盗?
专家分析,网站泄密、黑客入侵、用户使用不当都可能造成账号被盗
事实上,早在当当网之前,京东商城已经卷入了“CSDN泄密门”,出现了大量账户被套用盗刷的情况,当时账户被盗用资金全部用来买了彩票。不过此次事件的具体原因仍有待查明。
南京同庆科技公司总经理胡杰认为,造成账号被盗的可能性非常多,也不排除内部员工监守自盗,也可能是因为用户本身的密码设置存在一定的规律,黑客通过排列组合破译。胡杰表示,现在网络上的盗号手段非常之多,获取账户密码的渠道也不少,所以用户自己必须更加谨慎。
金山网络信息安全专家李铁军认为,造成这种结果有很多可能性,当当网声明称与CSDN泄密有关,这是一种可能。另外,也可能是用户自己使用密码不当;也可能是网站系统被入侵。李铁军认为:“从去年到今年发生了很多起类似的事情,我觉得不是偶发事件,应该有关联。”
预存资金安全如何保障?
律师认为,监管存在空白,建议启动相关立法,并实行保证金制度,在网站赔偿能力不济的情况下把风险降到最低
有不少电商人士对当当网和京东商城报以同情,认为二者也是受害者。京东商城账号被盗发生后,已和账号存在风险的用户进行一对一沟通,建议用户将密码设置得更复杂一些。此外,也为用户提供了账号安全功能服务。当当网的市场部负责人昨天也向记者表示,目前账户资金还在冻结,未来当当网会启动更加严密的安全措施,包括手机验证等。
一位律师表示,虽然目前对于网上这部分资金的监管没有规定,但是一旦这部分资金出了问题,用户完全可以通过法律途径解决问题。“网站负有全部责任,网站和用户之间形成了合约关系,所以一旦出现这样的问题,网站要进行赔偿无疑。”当然,这位律师表示,随着网络不断发展,电子商务不断发展,未来类似的问题都会逐渐浮出水面,而这一方面的立法也会进入视野范围。
“目前,国家对于网站这部分资金应该如何监管,是否需要资质没有硬性规定。”北京大成(南京)律师事务所律师徐培这样告诉记者。他表示,现在看来这是各个网站的市场行为,没有硬性的规定。不过,他提出,可以实行保证金制度弱化风险。他告诉记者:“对于这些开通预存资金的网站,可以要求他们在注册地的工商部门进行备案,然后缴纳一定金额的保证金,这样的话一旦出现类似的情况,而网站的赔付能力又不济的话,保证金还能拿出来用,把风险降到最低。”
暴露出的
安全漏洞如何补?
警方认为,对泄密数据传播者无处罚依据,商业网站掌握大量个人信息却没有相应的约束,相关法规有待加强
当当网声称,此次账户被盗刷与CSDN数据泄露有关,目前CSDN数据泄露的5名嫌疑人也已归案,但其背后暴露出来的问题不容忽视。
“CSDN数据泄露后,很快在网上成为热点,不少程序员、网民在传播泄露的数据。可以说,这些网民客观上促成了数据泄露速度加快、传播范围更加广泛。”侦查员说,然而在实际办理案件时,对于大量的数据传播者却并没有处罚的法律依据。
此外,在案件侦破过程中警方发现,CSDN网站存在的安全管理制度和技术保护措施落实不到位的问题是造成用户信息泄露的主要原因。警方据此提出整改措施,并对网站运营公司做出行政警告的处罚,这也成为我国落实信息安全等级保护制度以来的首例“罚单”。
然而在众多的商业网站中,存在这些问题的不仅仅是CSDN一家。“有些网站没有到公安机关备案,有些网站存在安全、管理等方面的漏洞,一方面表现出一些网站为了追求商业利益而忽略了责任心;另一方面,对于掌管这么多个人信息的商业网站,我们的法规还是比较滞后。”侦查员说,商业网站获得大量个人信息,却并没有得到应有的约束,造成大量个人信息处于“危险地带”。
