當(dāng)當(dāng)網(wǎng)賬戶余額失竊 安全認(rèn)證成虛設(shè)
近日,有用戶爆料自己的當(dāng)當(dāng)網(wǎng)賬戶余額失竊了,而綁定的手機(jī)未收到任何提示短信,也就是說當(dāng)當(dāng)網(wǎng)手機(jī)號(hào)綁定這一安全措施形同虛設(shè)。
據(jù)報(bào)道,對(duì)于用戶網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛這一事件,根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說法,這是郵箱密碼泄露所招致的被盜,不過對(duì)于這樣的回應(yīng),用戶并不能接受,并表示自己明明已經(jīng)綁定了手機(jī)號(hào),黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額,也就是說,手機(jī)號(hào)綁定這一安全措施形同虛設(shè),難道當(dāng)當(dāng)網(wǎng)沒有一點(diǎn)責(zé)任?
當(dāng)當(dāng)網(wǎng)賬戶現(xiàn)金余額和禮品卡頻繁失竊
今年5月27日,來自廣州的用戶何麗在登錄當(dāng)當(dāng)網(wǎng)時(shí),網(wǎng)站提示:賬號(hào)密碼錯(cuò)誤。起初,何麗以為是兩個(gè)月未登錄該賬戶,忘記了密碼,便通過當(dāng)初認(rèn)證的郵箱上嘗試找回密碼。
不過,當(dāng)她找回密碼重新登錄后,卻發(fā)現(xiàn)自己在當(dāng)當(dāng)網(wǎng)賬號(hào)下的原有禮品卡余額由應(yīng)有的359元變?yōu)?,原先的訂單信息也全部消失。“我的賬號(hào)雖然還在,但卻已經(jīng)變成了空賬號(hào)。”
其實(shí),此次并非當(dāng)當(dāng)網(wǎng)用戶第一次遭遇盜號(hào)事件。早在2012年初,當(dāng)當(dāng)網(wǎng)就被爆出大量用戶賬號(hào)被盜。當(dāng)時(shí),當(dāng)當(dāng)網(wǎng)對(duì)媒體給出的解釋是源于CSDN[微博]網(wǎng)站數(shù)千萬用戶密碼被泄露。
2014年3月,當(dāng)當(dāng)網(wǎng)再次被爆出用戶賬戶余額被盜事件,當(dāng)當(dāng)網(wǎng)對(duì)此發(fā)布公告稱,此次賬號(hào)余額被盜事件是由于其WAP端存在安全漏洞所引起的,當(dāng)當(dāng)也承諾由此造成的消費(fèi)者損失,會(huì)由公司先行賠付。
今年3月,一名“王差飛向月球”的微博用戶,在微博上也反映:自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。
另據(jù)媒體報(bào)道,今年5月,在杭州濱江一家證券公司上班的朱小姐,禮品卡內(nèi)1300余元也被盜刷……
僅用郵箱變更賬號(hào)信息已滯后
對(duì)于此次何麗賬戶余額失竊事件,當(dāng)當(dāng)網(wǎng)客服人員否認(rèn)網(wǎng)站存有缺陷,也拒絕承擔(dān)任何責(zé)任。那么由郵箱申請(qǐng)賬號(hào)后,單純通過郵箱變更電商賬號(hào)內(nèi)所有信息是否屬于行業(yè)通行的做法呢?
獵豹移動(dòng)安全專家李鐵軍在接受記者采訪時(shí)表示,之前,互聯(lián)網(wǎng)服務(wù)提供者主要通過用戶名和密碼確認(rèn)登錄者的身份,變更一般也通過認(rèn)證的郵箱來進(jìn)行。
不過,李鐵軍表示,隨著互聯(lián)網(wǎng)上拖庫(指黑客攻擊網(wǎng)站漏洞,竊取包含用戶注冊(cè)郵箱和密碼的數(shù)據(jù)庫)、撞庫事件(黑客將數(shù)據(jù)庫聚合在一起,專門針對(duì)知名電商網(wǎng)站自動(dòng)化批量登錄)的接連發(fā)生,大約從2013年開始,支付寶[微博]等第三方支付機(jī)構(gòu)在驗(yàn)證用戶身份時(shí)啟用了賬戶密碼和手機(jī)短信驗(yàn)證的雙重驗(yàn)證體系,近一兩年來開始擴(kuò)展至B2C電商平臺(tái)。
對(duì)于電商平臺(tái)等具有交易屬性的網(wǎng)站,尤其是綁定有支付卡的網(wǎng)站而言,如果目前還沒有開通綁定手機(jī)號(hào)的驗(yàn)證功能,說明其在網(wǎng)絡(luò)安全措施上還不到位。”李鐵軍說。
李鐵軍認(rèn)為,對(duì)于賬號(hào)出現(xiàn)的異常登錄、賬戶個(gè)人信息的重大變更,如變更收貨地址等,電商平臺(tái)都應(yīng)當(dāng)增加手機(jī)驗(yàn)證的方式,以此確保用戶的賬號(hào)使用安全。
網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為,當(dāng)當(dāng)網(wǎng)的這種認(rèn)證邏輯存有缺陷。一般情況下,如果用戶要變更原來的手機(jī)號(hào)碼等資料信息,是需要給原來的手機(jī)號(hào)碼發(fā)送驗(yàn)證碼,以確保該變更是在原用戶的掌控下所進(jìn)行的操作,“否則綁定手機(jī)號(hào)就變得沒有意義,只是一種擺設(shè)”。
對(duì)于當(dāng)當(dāng)網(wǎng)的安全認(rèn)證機(jī)制,業(yè)內(nèi)認(rèn)識(shí)認(rèn)為,相對(duì)于普通用戶,電商平臺(tái)更應(yīng)知曉不同驗(yàn)證方式對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí),尤其是此前當(dāng)當(dāng)網(wǎng)出現(xiàn)了多起用戶賬號(hào)被盜事件,出于保護(hù)消費(fèi)者權(quán)益的考慮,在用戶原賬號(hào)信息作出重大變更時(shí),應(yīng)當(dāng)通過多重方式進(jìn)行驗(yàn)證和告知,手機(jī)短信驗(yàn)證應(yīng)該成為提示的“標(biāo)配”。
盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對(duì)的安全,但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下,對(duì)于此次的當(dāng)當(dāng)網(wǎng)賬戶余額失竊事件,作為互聯(lián)網(wǎng)服務(wù)提供商,應(yīng)該在現(xiàn)有認(rèn)知水平范圍內(nèi)認(rèn)真梳理公司的安全保障機(jī)制,這是對(duì)用戶應(yīng)盡的保護(hù)義務(wù)。
更多電商資訊內(nèi)容 參看:http://zytcm.com.cn/ecschool/kdzx/