主页 / 领域 > 电商 > 正文

当当网手机绑定形同虚设 邮箱改账号被盗无警示

2015-06-24 16:26:47   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:让何丽颇为困惑的是,自己重新登录当当账户后,发现邮箱和手机号码等重要资料的篡改,全部通过邮箱完成,自己绑定的手机号码并未收到任何提醒。
\

  网站账户里原本应有的礼品卡和余额不翼而飞,而用户绑定的手机却从未收到过任何提示短信。

  近日,当当网用户何丽就遭遇了上述事件。虽然根据当当网客服人员的说法,这是邮箱密码泄露所招致的被盗,不过对于这样的回应,何丽并不能接受。她认为,明明自己已经绑定了手机号,黑客却仅凭邮箱就变更了资料并窃取了账户金额,也就是说,手机号绑定这一安全措施形同虚设,难道当当网没有一点责任?

  “不排除当当网在安全认证逻辑上存有瑕疵。”业内人士告诉法治周末记者,尽管互联网企业难以保障绝对的安全,但是在网络安全事件频发的大背景下,作为互联网服务提供商,应该在现有认知水平范围内认真梳理公司的安全保障机制,这是对用户应尽的保护义务。

  礼品卡和现金余额都不翼而飞

  5月27日,来自广州的用户何丽在登录当当网时,网站提示:账号密码错误。起初,何丽以为是两个月未登录该账户,忘记了密码,便通过当初认证的邮箱上尝试找回密码。

  不过,当她找回密码重新登录后,却发现自己在当当网账号下的原有礼品卡余额由应有的359元变为0,原先的订单信息也全部消失。“我的账号虽然还在,但却已经变成了空账号。”

  5月28日,何丽联系当当网客服人员,要求由其查证被盗原因并恢复自己账号中的资料。随后,客服人员告知其账号被盗的原因是何丽自己的邮箱账号及密码被盗,何丽账号下的用户名、预留的手机号码已统统更改为她不认识的号码和资料。

  在何丽的要求下,当当网客服帮助其将自己原来的资料移动到新注册的邮箱底下。重新进入原有账户后,何丽发现,账户原有的15元现金也被消费完。

  依照订单显示的详情,所购货品为两包婴儿纸尿片,寄送到深圳的某一地点,订单中显示有手机号,不过何丽拨打过去却显示为关机状态。

  其实,此次并非当当网用户第一次遭遇盗号事件。早在2012年初,当当网就被爆出大量用户账号被盗。当时,当当网对媒体给出的解释是源于CSDN[微博]网站数千万用户密码被泄露。

  2011年年底,程序员网站CSDN、天涯社区出现大规模的用户数据泄露事件,超过5000万个用户账号和密码在网上公开扩散。由于很多用户习惯在不同网站使用相同的账户密码,给不法分子留下了可乘之机。不仅当当网被波及,京东、一号店等电商也集中爆发礼品卡盗刷事件。

  2014年3月,当当网再次被爆出用户账户余额被盗事件,当当网对此发布公告称,此次账号余额被盗事件是由于其WAP端存在安全漏洞所引起的,当当也承诺由此造成的消费者损失,会由公司先行赔付。

  此次何丽在发现账号被盗后,在向警方报案的同时,也联系了当当网客服进行投诉。

  6月19日,当当网公关总监徐淳在回复法治周末记者采访时也证实:何丽的邮箱被盗是出现此事件的原因。

  “经过公司内部核查,何丽的账号在今年3月底被盗,账号被盗原因可能为用户邮箱被盗所致,建议用户报警。”徐淳介绍,关于盗用者的信息,当当网也在追查中,并会积极配合警方调查。

  仅用邮箱变更账号信息已滞后

  法治周末记者了解到,近段时间以来,当当网用户中遭遇账号被盗、账户内礼品卡被盗刷的不仅是何丽一人。

  今年3月,一名“王差飞向月球”的微博用户,在微博上也反映:自己在未收到短信提示的情况下账户内资料被更改、礼品卡内1500元也被用光。当时,他还将自己的遭遇@了“当当网”和“当当李国庆[微博]”。另据媒体报道,今年5月,在杭州滨江一家证券公司上班的朱小姐,礼品卡内1300余元也被盗刷……

  让何丽颇为困惑的是,自己重新登录当当账户后,发现邮箱和手机号码等重要资料的篡改,全部通过邮箱完成,自己绑定的手机号码并未收到任何提醒。

  “平时在当当网的消费和充值情况,手机都会收到短信,但盗号者盗用账号、修改手机号时,我的手机却没有收到任何提醒警示或者验证。所以我认为,这是当当网流程和系统设置的一个大漏洞。”何丽认为,正是当当网在身份认证机制上的缺陷,才使得自己发生了损失。

  不过,何丽告诉法治周末记者,当当网客服人员否认网站存有缺陷,也拒绝承担任何责任。

  那么由邮箱申请账号后,单纯通过邮箱变更电商账号内所有信息是否属于行业通行的做法呢?

  猎豹移动安全专家李铁军在接受法治周末记者采访时表示,之前,互联网服务提供者主要通过用户名和密码确认登录者的身份,变更一般也通过认证的邮箱来进行。

  不过,李铁军表示,随着互联网上拖库(指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库)、撞库事件(黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录)的接连发生,大约从2013年开始,支付宝[微博]等第三方支付机构在验证用户身份时启用了账户密码和手机短信验证的双重验证体系,近一两年来开始扩展至B2C电商平台。

  “对于电商平台等具有交易属性的网站,尤其是绑定有支付卡的网站而言,如果目前还没有开通绑定手机号的验证功能,说明其在网络安全措施上还不到位。”李铁军说。

  李铁军认为,对于账号出现的异常登录、账户个人信息的重大变更,如变更收货地址等,电商平台都应当增加手机验证的方式,以此确保用户的账号使用安全。

  法治周末记者在采访中了解到,一些电商平台如淘宝网[微博],如果用户要修改密码或者进行其他事项的变更,为了保障账户安全,在进行变更前都需要确认对方身份,如果账户绑定了手机,则优先进行手机校验;若未绑定则可以选择登录邮箱进行校验。

  变更账户机制被指不合理

  网上交易保障中心副主任乔聪军认为,当当网的这种认证逻辑存有缺陷。他向法治周末记者介绍,一般情况下,如果用户要变更原来的手机号码等资料信息,是需要给原来的手机号码发送验证码,以确保该变更是在原用户的掌控下所进行的操作,“否则绑定手机号就变得没有意义,只是一种摆设”。

  6月18日,法治周末记者以用户身份致电当当网客服,一位男性客服人员告诉记者,如果客户是以手机号码申请的当当网账号,那么要对账户信息进行变更必须通过手机进行验证;如果是以邮箱申请的账号,在用户通过安全中心绑定了手机的情况下,当当网会提供邮箱验证和手机验证两种方式,用户选择其中一种即可。

  该客服人员称,如果用户以邮箱申请当当网账号后,账户密码还同原来的邮箱密码保持一致,就会存有非常高的风险,容易使不法分子通过邮箱验证的方式,变更其所有的信息。

  何丽告诉法治周末记者,其最初的当当账号密码同邮箱密码并不相同,而是存在明显的差异。此次事件后,她又以QQ邮箱重新申请了一个新的当当账号,也绑定了手机号,但是客服人员仍然告诉她,即使绑定,也可以选择通过邮箱更改所有资料。

  何女士认为,在绑定手机号的情况下,还可以单纯通过邮箱进行变更,这样的认证方式缺乏合理性,也让变更者缺乏制约。

  法治周末记者也就该问题采访了徐淳。徐淳表示,当当网对客户的账号安全有严密的保护措施,包括邮箱验证、手机验证等身份验证方式,不过对于何丽遭遇的情形,其需要同技术部门沟通查询更多信息。截至记者发稿,当当网方面未就该问题作出回应。

  对此,李铁军认为,即使密码不同,只要不法分子掌握用户的邮箱和密码,就可以像何丽一样,通过“找回密码”的方式登录平台账号,修改相关信息,同时关联到自己的手机上。因此李铁军认为,在绑定手机号的情形下,仅通过认证邮箱就可以变更所有用户资料的做法是欠妥当的。

  电商平台应尽更高注意义务

  对于当当网的认证机制,乔聪军也认为,相对于普通用户,电商平台更应知晓不同验证方式对应的风险等级,尤其是此前当当网出现了多起用户账号被盗事件,出于保护消费者权益的考虑,在用户原账号信息作出重大变更时,应当通过多重方式进行验证和告知,手机短信验证应该成为提示的“标配”。

  “打个比方,用户用邮箱申请的账户及密码相当于家庭中的防盗门,绑定手机号的用户资金账户是屋内的木门,一般来说两个门都要有钥匙,而且是不同的钥匙。如果用户不慎丢失了防盗门的钥匙,通过木门的钥匙也能防止资金账户被盗刷,而非单纯通过一个邮箱就打开了所有的门。”乔聪军说。

  中国电子商务政策法律委员会副主任刘春泉在接受法治周末记者采访时表示,我国消费者权益保护法规定了企业负有确保消费者信息安全的义务,作为企业应当采取技术和其他必要措施,防止消费者个人信息泄露、丢失,“不过要想让企业绝对地保障安全,这是做不到的”。

  不过,刘春泉认为,如果是基于现有认识水平可以预料到这种瑕疵或者漏洞、但不予改进,那就是有过错,如果因为这种瑕疵或者漏洞对用户造成损失,那么电商平台就应当承担一定的责任。

  乔聪军认为,在互联网信息安全事件频发的背景下,作为互联网服务提供商,应当认真梳理身份认证的逻辑,加大信息安全方面的投入,切实保障消费者的权益。

  此外,李铁军对记者介绍,很多用户在互联网上使用同一套用户名和密码,“这种做法的危险性是非常高的,被盗几乎是一定的,只是时间早晚的问题”。

  李铁军介绍,如果用户在不同网站都使用相同的注册邮箱和密码,一旦有一家网站被黑客拖库,不法分子就会批量尝试去其他网站登录,即进行撞库,一旦撞库成功,不法分子就会获取用户更多的个人信息,或用于窃取账户金额,或者用于实施诈骗。

  为此,李铁军建议消费者,对于有交易属性的网购平台的用户名和密码尽可能保证唯一性,不要与邮箱密码或者其他网站的登录信息一致。此外,如果认为某电商平台的安全保障措施欠缺,李铁军建议消费者不要绑定银行卡或第三方支付账号,以免遭受更大的损失。(法治周末)

  链接+

  作为国内一家老牌的电商公司,当当虽然是最早上市的中概电商股,但是风光很短暂,对比国内的阿里巴巴、京东商城、唯品会、聚美等电商公司,如今的当当在市值、业务规模和发展战略等方面都大幅度落后这些玩家。日前有自媒体爆料称,当当正寻求作价二三十亿美元出售,但最终谈判未果。同时,一直在微博上活跃的李国庆在此期间未有更新,似乎正印证外界的猜测:当当是否真有“重要的事”要发生。

  6.18大促前夕,京东这个主角早已经忙得不亦乐乎,苏宁、国美和阿里们也纷纷造势。最早在美国上市的中概电商股当当,却被遗忘在一个角落,既无营销上的发声,也无促销上的举动。对此,不少业内人士表示不解:当当究竟怎么了?

  来自新浪科技的报道称:有自媒体爆料,当当正寻求作价二三十亿美元出售,但最终谈判未果。目前,这一消息是否属实尚不得知,当当网官方也未对此消息表态。一直在新浪微博活跃的当当网CEO李国庆,也未发表关于当当网6.18促销的微博。各种迹象显示,当当网的日子不好过。

  优势尽失的当当

  早在五年前就已经登陆纽约证券交易所的当当,倚仗的是图书B2C老大的标签。自1999年11月成立至今,当当在图书B2C领域的地位从未被人撼动,既便刘强东这个号称电商枭雄的人物,拿当当网也没有任何办法。

  十几年前,当当网能够在图书B2C领域保持着绝对领先的地位,这实属难得。遗憾的是,社会变迁让当当这一优势成为了泡影。在互联网+大潮之下,图书业务市场逐渐萎缩。以iPad和亚马逊Kindle为代表的移动终端,让电子阅读市场一下火爆起来。与此同时,智能手机的高速普及,更是给了传统图书市场致命的一击。

  就在当当网购上市的2010年,广州首家三联书店黯然撤出购书中心。2011年,光合作用书屋在北京的两家直营店倒闭,广州的最后两家三联书店也相继关门。中华全国工商联合会书业商会的调查显示,过去10年有近五成民营书店倒闭,目前这种趋势还在加剧。号称全国最大图书承销商的新华书店,经营情况也令人堪忧,不少地区的新华书店亏损。

  线下实体书店的不断倒闭,折射出图书市场的衰败,这无疑是对当当这个图书B2C的致命一击。一直以图书销售为经济支柱的当当,在图书市场衰败的环境下优势尽失。上市仅融了2亿美元的当当,开始了艰难的转型之路。

  当当转型屡次受挫

  作为当当网掌门人的李国庆也深知图书市场衰败带来的冲击,并尝试转型,淡化图书B2C的颜色。在上市一年后,当当开始转型,将业务阵地扩张到百货品类,并与京东展开了竞争。

  在当当上市前,京东推出图书频道,牵制当当上市的进程。尽管刘强东未能阻止当当上市的步伐,但当当上市融资额已经大打折扣。在将品类扩张到百货后,野心勃勃的当当又将战火烧到了3C数码品类,结果遭遇了刘强东的疯狂狙击。京东用图书亏损的价格,直击当当的经济支柱,结果当当3C数码品类扩张因此而偃旗息鼓。现在来年,刘强东玩了一招很漂亮的釜底抽薪。

  在转型百货和3C数码电商策略失败后,当当开始引入1号店、苏宁和国美这样的第三方平台,试图多元化经营。现在看来,当当的多元化经营之路又以失败告终。多次转型受挫后,当当又开始效仿亚马逊搞数字阅读,李国庆亲自挂帅。与此同时,当当还推出了跨境电商业务。

  在数字阅读领域,当当也是起了个大早,赶了个晚集。在BAT和盛大已经有了成熟的布局后,当当才涉足数字阅读,结果可想而知。在跨境电商领域,当当同样没有任何优势。在京东、阿里和网易们的跨界电商已经做得有色有色时,当当才在今年5月成立跨界电商部门,这注定当当在跨界电商领域已然没有了优势。

  自上市那年就开始转型的当当,经历了五个春秋后至今没有找到属于自己的发展之路。在3C数码领域,京东的地位已经相当牢固;在百货服装领域,天猫的优势也很难超越。在垂直电商纷纷倒下的残酷环境下,当当要么卖,要么死。除此之外,或许没有其他更好的出路了。

  卖身和等死的抉择

  对于当当而言,卖身和等死都不是一个好的出路。在京东、阿里和国美们已经各自为营,微商前景一片红火的市场环境下,除了卖身和等死,当当是否还有其他出路呢?

  从资本层面来看,卖身或许是当当一个最好的出路。在诸多潜在的买家中,京东和阿里都不错。相比之下,卖身京东更好一些。早在几年前京东与当当在百货领域打得不可开交时,就曾传出刘强东有意收购当当的消息。在京东已经上市,并且有腾讯微信和手机QQ资源支持下,当当下嫁京东,既可以充分挖掘数字阅读业务的潜力,又能与京东现有业务形成良好的互补。

  当然了,除了卖身外,当当还有一条路,就是最后一搏。最新财报显示,今年第一季度当当总营收为人民币22.173亿元,净亏损人民币6020万元,持有现金16.559亿元。十几亿现金,足够支持当当网在跨界电商领域放手一博。只是,李国庆是否有这个魄力?

  此前当当的多次转型,皆是因为没有坚持到最后而失败。一旦京东和阿里与当当展开跨界电商的竞争,李国庆能否坚持还是一个未知数。更重要的一点就是,当当营收增长缓慢,这或将成为当当专注经营跨境电商的包袱。

  从近年来当当的财务数据可以看到,当当营收增长在20%左右,根本无法与京东、聚美、唯品会等电商平台动辄60%以上的增速相比。也就是说,手握十几亿现金的当当最后一博也难有胜算。而且,一旦最后一搏也以失败告终,或许当当连卖身都没有机会了。

  另据业内人士透露,李国庆一方面在找接盘者,一方面也在寻找融资。显而易见,当当是卖身还是拼死一博,李国庆目前仍没有做出选择。看来,卖身和等死对李国庆而言确实是一个很艰难的抉择。

  在财大气粗的京东和阿里面前,失去了优势的当当除了等死和卖身外已经没有更好的出路。虽然手握十几亿现金,但价格战不断的市场环境已经让当当没有信心再拼死一博。更何况,一旦最后一搏失败,当当将再无翻身的机会。所以,今年6.18促销或许是当当最后一次露脸了。(中国经营网)

分享到:
责任编辑:

网友评论