隨著云計算、物聯網和移動互聯網一些未來互聯網技術的廣泛應用,信息安全的重要性已經日益凸顯,身份認證技術更是信息安全的第一道門。
12月19日,中國互聯網絡信息中心(CNNIC)發布《2013 年中國網民信息安全狀況研究報告》(以下簡稱“報告”)指出,74.1%的網民在過去半年內遇到過信息安全問題,總人數達 4.38 億,全國因信息安全事件而造成的個人經濟損失達到了196.3 億元。報告強調,信息安全影響網民的時間之長、規模之大前所未有。
網購:賬號頻現安全隱患賠付標準不一
報告數據顯示,因網上購物遇到過安全問題的網民達 2010.6 萬人。其中,因網購遭遇個人信息泄露和賬號密碼被盜分別為42.9%、23.8%。電腦網絡支付時,資金被盜、被騙和賬號密碼被盜的比例達32.1%。在2013年底,伴著年終歲末的網絡狂歡節的紛至沓來,中國質量萬里行也收到了不少關于網購平臺賬號安全的投訴案例。
凡客達人賬號半月被盜用24次被指監管不嚴
凡客達人是凡客誠品推出的一個社區化分成營銷平臺,于2011年3月18日凌晨正式上線,買家只要通過“達人”的店鋪或者空間購買凡客產品,“達人”就可以獲得凡客10%的銷售分成。
簡單的說,這些消費者就類似于淘寶客,充當凡客誠品的導購員。2013年5月,凡客達人取消了分成機制,凡客網站網店聯盟分成也大幅度降低,但達人們仍可以定期獲得相應提現。
安徽阜陽劉先生2012年6月30日成為了凡客達人的一員。直到2013年5月17日,他一共為凡客誠品銷售了1891件貨品,銷售總額133862.22元,累積獲得傭金14861.91元。從2012年10月開始,劉先生每月從傭金中提取800元,一直持續到2013年8月,從未間斷。
2013年9月初,劉先生像往常一樣登陸凡客誠品賬號準備提現,卻發現提現頁面出現了凡客誠品8月31日發布的官方公告:“因近期公司搬遷,本月達人分成延期結算,同時九月臨時暫停提現申請。”這意味著,劉先生的提現9月暫停,要等到10月。
可當劉先生10月11日登陸賬號準備提現時,卻發現賬號金額少了5330元,查看記錄,發現有人盜竊了賬號。劉先生說:“由于賬號與銀行卡綁定,要是盜號者提現就會將金額直接返到我的銀行卡上。盜號者便將賬號里的傭金換取了凡客達人20元禮品卡264張,10元禮品卡5張,從9月5號一直持續到9月21號,共分24次,后以低廉的價格為大約250名顧客購買凡客誠品的產品,賺取傭金或者代購費。”
事后,劉先生與凡客誠品客服人員電話、郵件多次溝通,卻并未得以解決。劉先生認為,首先因凡客方面的原因導致每月正常提現被中斷,其次凡客方面監管不嚴,賬號金額被人盜取異地登陸多次竟沒有絲毫覺察,不得不讓人生疑。他認為,像常用的騰訊QQ等通訊工具,出現異地登陸或異常IP登陸,都會有風險提示或發短信發郵件通知改密碼,而這一點凡客并沒有。
劉先生懷疑凡客誠品的賬號的安全性,要求凡客誠品賠償全部損失。而最后劉先生只得到了未使用的禮品卡金額的補償,而已經使用的金額被解釋因屬于客戶賬戶被盜,告知無法返還。
凡客V+商城賬戶被盜 僅靠密碼存漏洞
12月5日,在凡客誠品有三年購物經驗的北京趙女士登錄V+商城,卻發現賬戶出現兩筆被消費記錄,賬戶余額被扣去134元,三年積累的積分被全部盜用。這兩筆訂單均發貨至河北保定,網頁上顯示的地址為模糊地址,所留的手機號碼已經停機。
趙女士撥打客服電話,并按要求提供了手機號碼、郵箱地址及其中一個收件地址后,客服即刻便口頭告知了其賬戶密碼,并未通過相關驗證過程。
12月12日,凡客V+客服人員為趙女士提交的請款申請得到審批,趙女士被盜的金額和積分順利全額返回。這整個過程卻讓趙女士對賬戶信息安全心有余悸,“這也太不安全了,(網站)內部運營流程有嚴重的BUG。接觸客戶信息的凡客供應商、客服人員都可以得到客戶基本信息,甚至直接進入客人賬戶。錢被盜是小事兒,密碼這么容易被獲取,客人的隱私信息很容易被壞人利用。”
按趙女士的說法,凡客V+商城消費者的賬戶信息不僅能被客服人員隨時查詢,且修改無需驗證,對方只需要知道用戶的手機號、收貨地址及郵件即可,而這些信息在消費的每一個環節都有可能泄漏,比如電商公司內部、供應商、物流等諸多環節。加上凡客商城與凡客V+商城的賬戶是可以直接關聯的,對普通消費者來說,這顯然存在著極大的安全隱患。
事實上,微博上早就有不少網友對凡客賬戶安全問題進行吐槽。網友“暮光hdf”說,凡客的密碼修改機制太簡單了,太不安全了,一個郵箱直接就能修改密碼,我的賬號被盜了,還被買了衣服,幸好凡客賬號上沒有留錢,只有一張優惠券,肯定被用了……凡客你能不能修改密碼必須綁定手機才能修改。
更有網友直接@凡客誠品創始人陳年,希望對客戶郵箱手機全綁定后,賬戶被盜后資料被全改的事情進行解釋,網友對客服以“不知道對方如何盜用”、“也許你也不是原來的戶主”、“凡客沒有任何錯”的理由回復持不滿態度。事后,網友請求工作人員提供被盜時間、登陸IP,被告知查詢不到,沒有記錄。由此,網友們認為凡客誠品網站的安全機制不健全。
除了以上同一電商平臺的賠付出現的差異,不同的電商平臺對消費者的賬號安全采取的賠付方式也并不一致。
關于電商賬號安全的問題,2012年12月,中國質量萬里行曾報道過《京東再出安全事故 用戶賬號莫名被盜》一文(相關鏈接:http://www.zu001.cn/tousu/redian/238848.html),講述消費者對京東商城因賬號安全問題帶來的財產損失,最終,消費者吳先生的214個積分被盜最終未得到明確答復和賠償。
12月初,媒體紛紛轉載的廣州網店店主余額寶半小時被人盜刷6萬多塊的案例。根據支付寶的人工服務提示:當年申請數字證書和綁定手機等安全產品后是受到支付寶安全保障的,如果支付寶賬戶經核實確實存在被盜刷的情況,余額寶賬戶中的資金被盜用且無法追回,支付寶將做出全額補償。目前,消費者還在進行進一步維權。
網游:職業盜號者肆虐 封號成殺手锏
報告顯示,網絡游戲安全問題中,最常見的是游戲被盜號后裝備被賣,占因玩網絡游戲發生安全事件的網民的56.0%,這也是職業盜號者的首要目的。其中,常見的安全事件賬號密碼被盜、個人信息泄露發生比例分別為51.6%和22.0%。
2013年,中國質量萬里行投訴平臺,消費者因網絡游戲賬號被盜發起的投訴案例達1483例。
游戲賬號就像門鎖,有了賬號密碼,游戲里的一切東西都能被人洗劫一空。福州的黃先生9月玩某網絡游戲發現,投入3千多元的游戲賬號被盜走。黃先生按照網游平臺的要求提交了申訴單,卻屢遭拒絕,被客服人員以各種理由進行推脫。黃先生報案后卻被告知,游戲賬號屬于虛擬財產需要估價后才能立案,但物價部門表示網游賬號是虛擬財產由于沒有相關標準無法定價。
黃先生賬號被盜只能自認倒霉,卻不想該網游平臺將其游戲賬號凍結,由此他顯得十分氣憤,聯系客服人員卻遲遲未得到解決。
早有媒體爆料稱,游戲盜號已成為一個產業鏈條,各環節分工明確:木馬制作者制作出某種游戲的病毒-木馬販賣者將其販賣-購買木馬者找到訪問量比較多的網站經理,付費將其木馬掛在網站上,并將信箱出租-租用信箱的,也就是俗稱的盜號者便開始瘋狂盜號,盜的金幣批發賣給金幣商人-金幣商人將其在各大交易網站進行銷臟。也就是說,如果說1金幣賣1元人民幣,那么這些利潤分別屬于木馬制作者、木馬販賣者、制作信箱者、網站經理、盜號者、銷臟者。
面對瘋狂的盜號者,而與網購平臺進行主動賠付存在差異的是,網游平臺選擇封號的方式進行對玩家的損失進行處理。事后,消費者維權困難重重。
誠然,作為虛擬交易載體,消費者的虛擬賬戶呈現的特性迥異于現實中的實物商品,消費者賬戶被盜后,其資金往往被迅速消費,實踐中并不容易直接找到真實的資金流入主體,侵權活動難以追蹤到個人并主張索賠請求。而且對于賬戶被盜信息,消費者未必能及時知曉,也就難以進行及時、有效的事后救濟。
在實際消費案例中,侵權行為實施地與損害結果發生地難以精準界定,也是維權的難點之一。其次,警方展開立案調查對損失金額也多有要求,現實中的小數額金錢損失多被排除在外,難以尋求公力救濟渠道,只能單方面與電商平臺進行交涉。
記者查詢各大網站發現,就目前而言,鑒于網絡購物和網絡游戲安全事件危害嚴重,針對賬號安全開發的一些安全措施也較多,比如綁定手機、賬號實名制認證、設置強安全密碼、辦理動態密碼或口令卡、安裝數字證書等,上述很多方式是部分網絡安全的必要步驟,但這些措施在網絡平臺普及率仍有待提高。
