3月23日，當當網運營高級總監梁健鵬很意外地發現，從19日晚22點到22日24點這74個小時里，當當網所有被凍結了賬戶的用戶中只有6位致電當當網反映自己的賬戶異常。

另一個數據令梁健鵬更感蹊蹺。19日當當網給大約50萬賬戶上有余額和禮品卡的用戶發出了短信、郵件。按照他們自己的設想，至少要有80%的客戶會去修改自己的密碼。但實際上這三天的數據顯示，只有不到5%的用戶更改了自己的密碼。

當當網冒著商譽受損的巨大風險作出全網凍結賬戶的決策，卻得到這個令人大跌眼鏡的結果，這是一次被誤判的危機嗎？又是什么原因促使當當網CEO李國慶緊急作出這個決定，之后的74個小時中又發生了什么？

端倪

當當網用戶賬戶異常的現象早在一個月前就已經出現端倪。

據當當網客戶服務中心負責人梁健鵬回憶，2月份里有幾起零星的用戶投訴，稱自己的密碼失效或者登錄不進去。

當當網臨時制定了幾個針對性的措施幫助用戶恢復正常使用。但由于距離CSDN賬戶被盜已經過去了兩個月，兩家網站的大部分用戶重合度不高，且CSDN是用戶大規模泄密，而當時當當網僅僅是幾個用戶出現了異常，因此當當網并不敢斷定用戶的賬戶異常就一定與CSDN事件有關。

當時當當網分析推斷，有可能是用戶自己平時不夠謹慎泄露了自己的賬戶信息——例如在公共場合上網，或者是泄露給了自己的親友，泄露了賬號和密碼。因此只采取了在首頁上公告提醒用戶，由于CS-DN事件，請用戶更改登陸密碼確保自己賬戶安全。

此后相當“安靜”，3月的第一個星期里幾乎沒有什么事情發生。

但到了3月的第二個星期，突然開始有很多用戶向當當投訴，反映自己的賬戶異常，無法登錄、金額不對，或者是出現了陌生的訂單，有的時候一天多達二三十個投訴電話。當當網的客服和技術人員都已經意識到事情并不那么簡單，情況比想象中的要嚴重得多。

他們在加緊研究對策方案的同時第一時間向當當網的大當家CEO李國慶匯報了此事。

凍結所有用戶賬戶中的余額和禮品卡，是19日早上當當網CEO李國慶召集的一次多部門會議上做出的決定——這次由客服中心、技術部、法務部和運作部各部門責任者共七人參與的緊急會議事實上在當天上午和下午召開了兩次，上午的會議由李國慶親自拍板，決定凍結所有有禮品卡和余額的賬戶，通過短信和郵件的方式通知所有用戶上網改密碼，所有用戶損失當當來補償，以及向公安機關報警。

19日下午，李國慶再次召開會議，匯總了各項決定執行的情況，并且立刻著手布置付款流程的改進——付款前要用手機接收驗證碼。李國慶看到的數據是，從2月中旬到3月19日凍結用戶賬戶前，報告上來的賬戶異常共197例，損失賬戶的金額從幾十到數百不等，只有極個別賬戶金額較高。

當當網隨后發布公開聲明承認部分用戶賬戶被盜的事實。李國慶指示，要通過短信、郵件等一切方式通知所有用戶趕緊到當當網上來更改密碼，并檢查自己的賬戶是否有被盜用，以減少用戶和當當自己的損失——盡管法務部認為當當可能不需要負擔完全責任，但李國慶堅持損失的賬戶要全額、分批補償，計劃時間期限是兩個星期，當然，要在核實該用戶確實受到了損失之后。

這個時候李國慶和他的團隊面對的首要棘手問題是，究竟有多少用戶賬號被盜，損失究竟有多少？對于這家互聯網公司來講，只能通過自家網站公告、短信和郵件的方式提醒用戶登錄自己的賬號，更改新密碼并檢查禮品卡、賬戶余額是否有異常。事實上，他們最擔心的是用戶被盜但是還未曾察覺。

而另一個棘手的問題是，這些被盜的錢和損失怎么辦——如果是已經發生的訂單，當當網不僅損失了貨品，還要補償給用戶，相當于雙倍的損失。

李國慶認為，盡管在法理上也許當當網不需要全部責任，但在情理上當當網卻不能辜負用戶的信任，必須全額補償——即使是幾百萬元。

李國慶希望能在三天的時間里，讓大部分用戶把自己的密碼更新完。他下如此大的決心和成本凍結所有有資金、禮品卡賬戶的原因，也許是由于中國用戶對密碼的安全性的重視程度猶如A4紙的顏色一樣淺。

禍起弱密碼

根據當當網的判斷，是一些不法分子盜取了用戶的賬戶和密碼進行操作。事實上對一些稍微懂技術的人來講這很容易，現在很多用戶在不同的網站上使用了相同的賬戶名和密碼，給犯罪分子留下了盜取的機會。

國內最大的網絡安全廠商360安全中心在2011年年底曾發布過一次《密碼安全指南》，根據國內流行的密碼破解字典軟件破解列表，整理總結出中國網民最常用的25個“弱密碼”。

根據360安全專家給本報提供的資料，中國網民常用的TOP25“弱密碼”中，有9個與國外網民使用習慣完全相同。其中，除password、abc123、iloveyou、qwerty等全球網民通用“弱密碼”外，其余均為數字組合。

而簡單的數字組合，似乎更是中國網民最愛，占了榜單近半數。比如“666666”和“888888”這樣的吉利數，幾乎是所有中國黑客密碼字典中的必備項，而“5201314”（我愛你一生一世）顯然被國人寄予了濃厚的感情色彩，為中國特色“弱密碼”。

網民常用的“弱密碼”主要包括簡單數字組合、順序字符組合、臨近字符組合以及特殊含義組合等四大類別。而從中國版“弱密碼”榜單來看，國內網民更習慣設置6位字符密碼。TOP25中竟有18個是6位字符，所占比例高達72%。此外，“a1b2c3”和“p@ssword”這類組合型密碼看似復雜，其實也在黑客重點關注的密碼列表中。

如果系統賬號或其他網絡賬號采用上述“弱密碼”，很容易被黑客利用密碼字典自動“蒙中”，從而造成個人隱私信息泄漏甚至財產損失。

李國慶試圖通過這三天的賬戶凍結讓80%的當當網用戶都來為自己的賬戶設置一個高強度的密碼。然而三天下來，6個用戶報告賬戶異常和僅有不到5%的用戶更改密碼這個事實卻令人大跌眼鏡。

究竟是什么原因讓客戶不去關心自己賬戶中的財產？

也許是因為賬戶中的錢款數額比較少，也許是因為一些用戶還沒收到當當網賬戶可能被盜的消息，也許是因為禮品卡得來全不費工夫，也許——他們不在乎的原因，恰恰是一個令當當網員工不愿意相信的、但可能性很高的一個原因——李國慶的“全額補償”承諾。如果丟了也跟沒丟一樣，為什么要費事再去改個密碼？