令人不安的“网盗”

2014-01-21 21:18雷玄
中国质量万里行 2014年1期
关键词:凡客刘先生被盗

雷玄

随着云计算、物联网和移动互联网技术的广泛应用,信息安全的重要性已经日益凸显,身份认证技术更是信息安全的第一道门。

2013年12月19日,中国互联网络信息中心(CNNIC)发布《2013 年中国网民信息安全状况研究报告》(以下简称“报告”)指出,74.1%的网民在过去半年内遇到过信息安全问题,总人数达 4.38 亿,全国因信息安全事件而造成的个人经济损失达到了196.3 亿元。报告强调,信息安全影响网民的时间之长、规模之大前所未有。

凡客达人账号半月被盗用24次被指监管不严

凡客达人是凡客诚品推出的一个社区化分成营销平台,于2011年3月18日凌晨正式上线,买家只要通过“达人”的店铺或者空间购买凡客产品,“达人”就可以获得凡客10%的销售分成。

简单的说,这些消费者就类似于淘宝客,充当凡客诚品的导购员。2013年5月,凡客达人取消了分成机制,凡客网站网店联盟分成也大幅度降低,但达人们仍可以定期获得相应提现。

安徽阜阳刘先生2012年6月30日成为了凡客达人的一员。直到2013年5月17日,他一共为凡客诚品销售了1891件货品,销售总额133862.22元,累积获得佣金14861.91元。从2012年10月开始,刘先生每月从佣金中提取800元,一直持续到2013年8月,从未间断。

2013年9月初,刘先生像往常一样登陆凡客诚品账号准备提现,却发现提现页面出现了凡客诚品8月31日发布的官方公告:“因近期公司搬迁,本月达人分成延期结算,同时九月临时暂停提现申请。”这意味着,刘先生的提现9月暂停,要等到10月。

可当刘先生10月11日登陆账号准备提现时,却发现账号金额少了5330元,查看记录,发现有人盗窃了账号。刘先生说:“由于账号与银行卡绑定,要是盗号者提现就会将金额直接返到我的银行卡上。盗号者便将账号里的佣金换取了凡客达人20元礼品卡264张,10元礼品卡5张,从9月5号一直持续到9月21号,共分24次,后以低廉的价格为大约250名顾客购买凡客诚品的产品,赚取佣金或者代购费。”

事后,刘先生与凡客诚品客服人员电话、邮件多次沟通,却并未得以解决。刘先生认为,首先因凡客方面的原因导致每月正常提现被中断,其次凡客方面监管不严,账号金额被人盗取异地登陆多次竟没有丝毫觉察,不得不让人生疑。他认为,像常用的腾讯QQ等通讯工具,出现异地登陆或异常IP登陆,都会有风险提示或发短信发邮件通知改密码,而这一点凡客并没有。

刘先生怀疑凡客诚品账号的安全性,要求凡客诚品赔偿全部损失。而最后刘先生只得到了未使用的礼品卡金额的补偿,而已经使用的金额被解释因属于客户账户被盗,告知无法返还。

凡客V+商城账户被盗

仅靠密码存漏洞

12月5日,在凡客诚品有三年购物经验的北京赵女士登录V+商城,却发现账户出现两笔被消费记录,账户余额被扣去134元,三年积累的积分被全部盗用。这两笔订单均发货至河北保定,网页上显示的地址为模糊地址,所留的手机号码已经停机。

赵女士拨打客服电话,并按要求提供了手机号码、邮箱地址及其中一个收件地址后,客服即刻便口头告知了其账户密码,并未通过相关验证过程。

12月12日,凡客V+客服人员为赵女士提交的请款申请得到审批,赵女士被盗的金额和积分顺利全额返回。这整个过程却让赵女士对账户信息安全心有余悸,“这也太不安全了,(网站)内部运营流程有严重的BUG。接触客户信息的凡客供应商、客服人员都可以得到客户基本信息,甚至直接进入客人账户。钱被盗是小事儿,密码这么容易被获取,客人的隐私信息很容易被坏人利用。”

按赵女士的说法,凡客V+商城消费者的账户信息不仅能被客服人员随时查询,且修改无需验证,对方只需要知道用户的手机号、收货地址及邮件即可,而这些信息在消费的每一个环节都有可能泄漏,比如电商公司内部、供应商、物流等诸多环节。加上凡客商城与凡客V+商城的账户是可以直接关联的,对普通消费者来说,这显然存在着极大的安全隐患。

凡客账户安全问题存在多时

事实上,微博上早就有不少网友对凡客账户安全问题进行吐槽。网友“暮光hdf”说,凡客的密码修改机制太简单了,太不安全了,一个邮箱直接就能修改密码,我的账号被盗了,还被买了衣服,幸好凡客账号上没有留钱,只有一张优惠券,肯定被用了……凡客你能不能修改密码必须绑定手机才能修改?

更有网友直接@凡客诚品创始人陈年,希望对客户邮箱手机全绑定后,账户被盗后资料被全改的事情进行解释,网友对客服以“不知道对方如何盗用”、“也许你也不是原来的户主”、“凡客没有任何错”的理由回复持不满态度。事后,网友请求工作人员提供被盗时间、登陆IP,被告知查询不到,没有记录。由此,网友们认为凡客诚品网站的安全机制不健全。

网购:账号频现安全隐患

赔付标准不一

中国互联网络信息中心报告数据显示,因网上购物遇到过安全问题的网民达 2010.6 万人。其中,因网购遭遇个人信息泄露和账号密码被盗分别为42.9%、23.8%。电脑网络支付时,资金被盗、被骗和账号密码被盗的比例达32.1%。在2013年底,伴着年终岁末的网络狂欢节的纷至沓来,中国质量万里行也收到了不少关于网购平台账号安全的投诉案例。

除了以上同一电商平台的赔付出现的差异,不同的电商平台对消费者的账号安全采取的赔付方式也并不一致。

关于电商账号安全的问题,2012年12月,中国质量万里行曾报道过《京东再出安全事故 用户账号莫名被盗》一文(相关链接:http://www.315online.com/tousu/redian/238848.html),讲述消费者对京东商城因账号安全问题带来的财产损失,消费者吴先生的214个积分被盗,最终也未得到明确答复和赔偿。

2013年12月初,媒体纷纷转载的广州网店店主余额宝半小时被人盗刷6万多块的案例。根据支付宝的人工服务提示:当年申请数字证书和绑定手机等安全产品后是受到支付宝安全保障的,如果支付宝账户经核实确实存在被盗刷的情况,余额宝账户中的资金被盗用且无法追回,支付宝将做出全额补偿。目前,消费者还在进一步维权之中。

职业盗号者肆虐

网游平台草率封号处理

报告显示,网络游戏安全问题中,最常见的是游戏被盗号后装备被卖,占因玩网络游戏发生安全事件的网民的56.0%,这也是职业盗号者的首要目的。其中,常见的账号密码被盗、个人信息泄露发生比例分别为51.6%和22.0%。

2013年,中国质量万里行投诉平台,消费者因网络游戏账号被盗发起的投诉案例达1483例。

游戏账号就像门锁,有了账号密码,游戏里的一切东西都能被人洗劫一空。福州的黄先生9月玩某网络游戏发现,投入3千多元的游戏账号被盗走。黄先生按照网游平台的要求提交了申诉单,却屡遭拒绝,客服人员以各种理由进行推脱。黄先生报案后却被告知,游戏账号属于虚拟财产需要估价后才能立案,但物价部门表示,网游账号是虚拟财产由于没有相关标准无法定价。

黄先生账号被盗只能自认倒霉,却不想该网游平台将其游戏账号冻结,由此他十分气愤,联系客服人员却迟迟未得到解决。

早有媒体爆料称,游戏盗号已成为一个产业链条,各环节分工明确:木马制作者制作出某种游戏的病毒-木马贩卖者将其贩卖-购买木马者找到访问量比较多的网站经理,付费将其木马挂在网站上,并将信箱出租。租用信箱者,也就是俗称的盗号者便开始疯狂盗号,所盗的金币批发卖给金币商人-金币商人将其在各大交易网站进行销赃。也就是说,如果说1金币卖1元人民币,那么这些利润分别属于木马制作者、木马贩卖者、制作信箱者、网站经理、盗号者、销赃者。

面对疯狂的盗号者,与网购平台进行主动赔付不同的是,网游平台选择封号的方式对玩家的损失进行处理。事后,消费者维权困难重重。

网络安全措施

普及率有待提高

作为虚拟交易载体,消费者账户被盗后,其资金往往被迅速消费,实践中并不容易直接找到真实的资金流入主体,侵权活动难以追踪到个人并主张索赔请求。而且对于账户被盗信息,消费者未必能及时知晓,也就难以进行及时、有效的事后救济。

在实际消费案例中,侵权行为实施地与损害结果发生地难以精准界定,也是维权的难点之一。其次,警方展开立案调查对损失金额也多有要求,现实中的小数额金钱损失多被排除在外,难以寻求公力救济渠道,只能单方面与电商平台进行交涉。

记者查询各大网站发现,就目前而言,鉴于网络购物和网络游戏安全事件危害严重,针对账号安全开发的一些安全措施也较多,比如绑定手机、账号实名制认证、设置强安全密码、办理动态密码或口令卡、安装数字证书等,上述很多方式是部分网络安全的必要步骤,但这些措施在网络平台普及率仍有待提高。

猜你喜欢
凡客刘先生被盗
旧事
投 宿
故地重游的凡客,归人还是过客?
凡客转型“小米化”更像是背水一战