當(dāng)當(dāng)網(wǎng)賬戶余額失竊 安全認(rèn)證成虛設(shè)

　　近日，有用戶爆料自己的當(dāng)當(dāng)網(wǎng)賬戶余額失竊了，而綁定的手機(jī)未收到任何提示短信，也就是說當(dāng)當(dāng)網(wǎng)手機(jī)號(hào)綁定這一安全措施形同虛設(shè)。

　　據(jù)報(bào)道，對(duì)于用戶網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛這一事件，根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說法，這是郵箱密碼泄露所招致的被盜，不過對(duì)于這樣的回應(yīng)，用戶并不能接受，并表示自己明明已經(jīng)綁定了手機(jī)號(hào)，黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額，也就是說，手機(jī)號(hào)綁定這一安全措施形同虛設(shè)，難道當(dāng)當(dāng)網(wǎng)沒有一點(diǎn)責(zé)任?

　　當(dāng)當(dāng)網(wǎng)賬戶現(xiàn)金余額和禮品卡頻繁失竊

　　今年5月27日，來自廣州的用戶何麗在登錄當(dāng)當(dāng)網(wǎng)時(shí)，網(wǎng)站提示：賬號(hào)密碼錯(cuò)誤。起初，何麗以為是兩個(gè)月未登錄該賬戶，忘記了密碼，便通過當(dāng)初認(rèn)證的郵箱上嘗試找回密碼。

　　不過，當(dāng)她找回密碼重新登錄后，卻發(fā)現(xiàn)自己在當(dāng)當(dāng)網(wǎng)賬號(hào)下的原有禮品卡余額由應(yīng)有的359元變?yōu)?，原先的訂單信息也全部消失。“我的賬號(hào)雖然還在，但卻已經(jīng)變成了空賬號(hào)。”

　　其實(shí)，此次并非當(dāng)當(dāng)網(wǎng)用戶第一次遭遇盜號(hào)事件。早在2012年初，當(dāng)當(dāng)網(wǎng)就被爆出大量用戶賬號(hào)被盜。當(dāng)時(shí)，當(dāng)當(dāng)網(wǎng)對(duì)媒體給出的解釋是源于CSDN[微博]網(wǎng)站數(shù)千萬用戶密碼被泄露。

　　2014年3月，當(dāng)當(dāng)網(wǎng)再次被爆出用戶賬戶余額被盜事件，當(dāng)當(dāng)網(wǎng)對(duì)此發(fā)布公告稱，此次賬號(hào)余額被盜事件是由于其WAP端存在安全漏洞所引起的，當(dāng)當(dāng)也承諾由此造成的消費(fèi)者損失，會(huì)由公司先行賠付。

　　今年3月，一名“王差飛向月球”的微博用戶，在微博上也反映：自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。

　　另據(jù)媒體報(bào)道，今年5月，在杭州濱江一家證券公司上班的朱小姐，禮品卡內(nèi)1300余元也被盜刷……

　　僅用郵箱變更賬號(hào)信息已滯后

　　對(duì)于此次何麗賬戶余額失竊事件，當(dāng)當(dāng)網(wǎng)客服人員否認(rèn)網(wǎng)站存有缺陷，也拒絕承擔(dān)任何責(zé)任。那么由郵箱申請(qǐng)賬號(hào)后，單純通過郵箱變更電商賬號(hào)內(nèi)所有信息是否屬于行業(yè)通行的做法呢?

　　獵豹移動(dòng)安全專家李鐵軍在接受記者采訪時(shí)表示，之前，互聯(lián)網(wǎng)服務(wù)提供者主要通過用戶名和密碼確認(rèn)登錄者的身份，變更一般也通過認(rèn)證的郵箱來進(jìn)行。

　　不過，李鐵軍表示，隨著互聯(lián)網(wǎng)上拖庫(kù)(指黑客攻擊網(wǎng)站漏洞，竊取包含用戶注冊(cè)郵箱和密碼的數(shù)據(jù)庫(kù))、撞庫(kù)事件(黑客將數(shù)據(jù)庫(kù)聚合在一起，專門針對(duì)知名電商網(wǎng)站自動(dòng)化批量登錄)的接連發(fā)生，大約從2013年開始，支付寶[微博]等第三方支付機(jī)構(gòu)在驗(yàn)證用戶身份時(shí)啟用了賬戶密碼和手機(jī)短信驗(yàn)證的雙重驗(yàn)證體系，近一兩年來開始擴(kuò)展至B2C電商平臺(tái)。

　　對(duì)于電商平臺(tái)等具有交易屬性的網(wǎng)站，尤其是綁定有支付卡的網(wǎng)站而言，如果目前還沒有開通綁定手機(jī)號(hào)的驗(yàn)證功能，說明其在網(wǎng)絡(luò)安全措施上還不到位。”李鐵軍說。

　　李鐵軍認(rèn)為，對(duì)于賬號(hào)出現(xiàn)的異常登錄、賬戶個(gè)人信息的重大變更，如變更收貨地址等，電商平臺(tái)都應(yīng)當(dāng)增加手機(jī)驗(yàn)證的方式，以此確保用戶的賬號(hào)使用安全。

　　網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為，當(dāng)當(dāng)網(wǎng)的這種認(rèn)證邏輯存有缺陷。一般情況下，如果用戶要變更原來的手機(jī)號(hào)碼等資料信息，是需要給原來的手機(jī)號(hào)碼發(fā)送驗(yàn)證碼，以確保該變更是在原用戶的掌控下所進(jìn)行的操作，“否則綁定手機(jī)號(hào)就變得沒有意義，只是一種擺設(shè)”。

　　對(duì)于當(dāng)當(dāng)網(wǎng)的安全認(rèn)證機(jī)制，業(yè)內(nèi)認(rèn)識(shí)認(rèn)為，相對(duì)于普通用戶，電商平臺(tái)更應(yīng)知曉不同驗(yàn)證方式對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)，尤其是此前當(dāng)當(dāng)網(wǎng)出現(xiàn)了多起用戶賬號(hào)被盜事件，出于保護(hù)消費(fèi)者權(quán)益的考慮，在用戶原賬號(hào)信息作出重大變更時(shí)，應(yīng)當(dāng)通過多重方式進(jìn)行驗(yàn)證和告知，手機(jī)短信驗(yàn)證應(yīng)該成為提示的“標(biāo)配”。

　　盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對(duì)的安全，但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下，對(duì)于此次的當(dāng)當(dāng)網(wǎng)賬戶余額失竊事件，作為互聯(lián)網(wǎng)服務(wù)提供商，應(yīng)該在現(xiàn)有認(rèn)知水平范圍內(nèi)認(rèn)真梳理公司的安全保障機(jī)制，這是對(duì)用戶應(yīng)盡的保護(hù)義務(wù)。

　　更多電商資訊內(nèi)容 參看：http://westcoastpropertyservices.com/ecschool/kdzx/