電商未予正面回應

　　□晚報記者 秦川 報道

　　一度令用戶人心惶惶的電商泄密噩夢，近日又有死灰復燃的跡象。

　　上周末，記者從多名1號店用戶處獲悉，其賬戶發(fā)生了種種離奇盜刷現(xiàn)象，有人遭冒充工作人員的騙子致電告知中獎“喜訊”，也有人賬內余額直接被異地陌生人拿去買金鏈。與此同時，一份疑似將90萬1號店用戶信息一網打盡、包括地址手機都詳細記錄的名單，也正在網上以幾百元的價格公然出售。

　　據(jù)知情人士透露，此次泄密可能依然與去年的CSDN(微博)事件有關，屬于黑客“拖庫”。但接受記者采訪時，1號店三緘其口，對泄密原因、名單真假、用戶質疑均未予正面回應。

　　多名1號店用戶遭遇盜刷

　　“朋友說他的1號店賬號被盜，我檢查了一下，發(fā)現(xiàn)自己的賬號也被盜了，密碼未改，但賬戶余額被買了電子禮品卡充值到其他賬戶里。 ”一名深圳用戶無奈抱怨稱。

　　近日，包括北京、上海、廣東、山東等地在內的多名1號店用戶紛紛遭遇類似盜刷現(xiàn)象。上海徐匯區(qū)的一名用戶表示，由于1號店退款不能直接打回銀行卡中，導致其賬戶中400多元的余額被盜光。另一名同在徐匯區(qū)的用戶表示，其賬號“被下單”購買了黃金手鏈，素不相識的收貨人在河南，令他一頭霧水。

　　1號店青島用戶艾琦透露，她發(fā)現(xiàn)賬戶余額被轉移后，立刻致電向客服求助，后者表示該情況已向公安局報案。由于兩個月前，當當網(微博)同樣因為賬號泄露問題而宣布報警，有業(yè)者猜測目前1號店的泄密情況及受影響用戶覆蓋面也不太樂觀。

　　上述用戶被盜刷的主要原因，都是賬戶內的退款余額被不法分子盯上。 “就算退款不能原路打回網銀，那也應該做安全驗證吧？ ”正調查此事的IT業(yè)者挨踢客表示，不少被盜的用戶都設置了手機綁定，但遭不法分子提現(xiàn)到支付寶(微博)時卻未收到任何短信提示，令人十分費解。

　　究竟用戶資料為什么會泄密、目前影響范圍有多廣？用戶反饋的驗證缺失問題是否的確存在？這些疑點因1號店的緘默而顯得撲朔迷離。

　　記者昨天多次致電1號店公關部，對方在回復郵件中僅以“我們已經注意到報道”作答，隨后反復強調了公司對信息安全的高度重視。對于上述核心問題，1號店拒絕給予任何正面回應。

　　90萬用戶資料疑黑市叫賣

　　值得注意的是，目前網上已有一份疑似匯集了90萬名1號店的用戶資料名單在“黑市”販賣，叫價從幾百元到幾千元不等。有媒體暗訪得知，該名單中有截至2011年7月90萬全字段的用戶信息，包括手機、訂單金額、地址、郵箱等等，經驗證后的確可登陸1號店。

　　對于上述名單的真?zhèn)危?號店方面同樣拒絕回應。不過或許可以確定的是，這份名單曝光后的犧牲品已經出現(xiàn)。

　　不久前，微博用戶鄒女士公開曝光稱，她的朋友莫名其妙接到來自“1號店”的電話，對方說要郵寄1號店會員卡、化妝品以及300元充值卡。離奇的是，對方在電話中念出的地址，居然就是她今年3月11日在1號店下單時填的地址。由于不明真相，她朋友的同事幫其代付了298元的“貨到付款”費用，結果發(fā)現(xiàn)收到的是一堆假貨。

　　鄒女士表示，她當時由于幫人代購記不清具體地址，隨手在訂單頁面填了個“周一填寫”。時隔兩月，騙子在忽悠她時，居然也表示1號店”所記錄的地址是“周一填寫”，希望鄒女士的朋友把詳細地址告訴“客服”，以便寄送禮品。

　　當當網禮品卡“變身”尿不濕

　　除了1號店，更多電商網站也難逃“泄密”的陰影。

　　今年3月，當當網多名用戶遭遇“盜刷”，賬戶余額被洗劫一空，多用于購買筆記本電腦、鼠標等產品并發(fā)給陌生收貨人。

　　當當網隨即緊急凍結所有當當網賬戶余額及禮品卡，進行為期三天的排查，同時給予用戶一定的補償，并向公安機關報案。記者當時從其內部了解到，嫌疑人已初步鎖定在福建、廣東等地。

　　不過，時隔兩個月，囂張的盜刷者似乎仍在打游擊戰(zhàn)。3天前，一名沈陽地區(qū)的當當網用戶發(fā)現(xiàn)自己購買的4500元禮品卡，一夜之間被身份不明者全部拿去買了尿不濕，令人哭笑不得。而此前贈送給客戶的其他禮品卡，不少也難逃厄運。

　　當當網公關部昨天向記者表示，他們經過調查已基本確認這是又一起盜刷事件，但具體原因還在調查。對于今年3月的大規(guī)模泄密事件，當當網稱目前警方仍在走司法取證流程，暫無可對外公布的進展。

　　電商是否該為“泄密門”埋單

　　近半年，相繼卷入“泄密門”的電商不勝枚舉，主流的幾家巨頭幾乎均曾中槍。而在受訪時，他們幾乎一致撇清了責任，把矛頭指向被稱為“始作俑者”的CSDN。

　　去年年底，有黑客在網上公開了開發(fā)者技術社區(qū)CSDN網站的用戶數(shù)據(jù)庫，包括600余萬個注冊郵箱賬號和與之對應的明文密碼。隨后人人網、貓撲、天涯等多家互聯(lián)網站相繼遭黑客惡意公開數(shù)據(jù)庫，有超過5000萬個用戶賬號和密碼在網上公開擴散。

　　電商業(yè)內人士表示，黑客專門編了一套軟件，在很短時間內挨個嘗試密碼登錄各大電商網站，這種“拖庫”和“試庫”的機械方式，往往能斬獲非常多“一個賬號走天下”的粗心用戶，這也是導致“泄密”的主因。

　　不過，上述說辭也被部分用戶視為電商的“遮羞布”。 “我今年2月才注冊的賬號，用戶名是全新的，從沒用過。可今年3月我登錄時，系統(tǒng)提醒可能存在‘異常登錄’，非要我改密碼，不改就不能用。 ”用戶馬小姐告訴記者，她無法理解其中的邏輯。 “如果不是電商自己的用戶數(shù)據(jù)庫被黑客攻破，它沒有任何理由如此緊張。 ”

　　究竟誰該為此埋單？知名律師趙占領表示，如果是用戶CSDN賬戶密碼與電商賬戶密碼相同導致?lián)p失，則后者沒有任何法律責任。但如果是電商資深數(shù)據(jù)庫信息泄露所致，則要看其是否盡到基本的安全保障義務，舉證責任在于電商。