當當網(wǎng)賬戶余額失竊 安全認證成虛設

　　近日，有用戶爆料自己的當當網(wǎng)賬戶余額失竊了，而綁定的手機未收到任何提示短信，也就是說當當網(wǎng)手機號綁定這一安全措施形同虛設。

　　據(jù)報道，對于用戶網(wǎng)站賬戶里原本應有的禮品卡和余額不翼而飛這一事件，根據(jù)當當網(wǎng)客服人員的說法，這是郵箱密碼泄露所招致的被盜，不過對于這樣的回應，用戶并不能接受，并表示自己明明已經(jīng)綁定了手機號，黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額，也就是說，手機號綁定這一安全措施形同虛設，難道當當網(wǎng)沒有一點責任?

　　當當網(wǎng)賬戶現(xiàn)金余額和禮品卡頻繁失竊

　　今年5月27日，來自廣州的用戶何麗在登錄當當網(wǎng)時，網(wǎng)站提示：賬號密碼錯誤。起初，何麗以為是兩個月未登錄該賬戶，忘記了密碼，便通過當初認證的郵箱上嘗試找回密碼。

　　不過，當她找回密碼重新登錄后，卻發(fā)現(xiàn)自己在當當網(wǎng)賬號下的原有禮品卡余額由應有的359元變?yōu)?，原先的訂單信息也全部消失。“我的賬號雖然還在，但卻已經(jīng)變成了空賬號。”

　　其實，此次并非當當網(wǎng)用戶第一次遭遇盜號事件。早在2012年初，當當網(wǎng)就被爆出大量用戶賬號被盜。當時，當當網(wǎng)對媒體給出的解釋是源于CSDN[微博]網(wǎng)站數(shù)千萬用戶密碼被泄露。

　　2014年3月，當當網(wǎng)再次被爆出用戶賬戶余額被盜事件，當當網(wǎng)對此發(fā)布公告稱，此次賬號余額被盜事件是由于其WAP端存在安全漏洞所引起的，當當也承諾由此造成的消費者損失，會由公司先行賠付。

　　今年3月，一名“王差飛向月球”的微博用戶，在微博上也反映：自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。

　　另據(jù)媒體報道，今年5月，在杭州濱江一家證券公司上班的朱小姐，禮品卡內(nèi)1300余元也被盜刷……

　　僅用郵箱變更賬號信息已滯后

　　對于此次何麗賬戶余額失竊事件，當當網(wǎng)客服人員否認網(wǎng)站存有缺陷，也拒絕承擔任何責任。那么由郵箱申請賬號后，單純通過郵箱變更電商賬號內(nèi)所有信息是否屬于行業(yè)通行的做法呢?

　　獵豹移動安全專家李鐵軍在接受記者采訪時表示，之前，互聯(lián)網(wǎng)服務提供者主要通過用戶名和密碼確認登錄者的身份，變更一般也通過認證的郵箱來進行。

　　不過，李鐵軍表示，隨著互聯(lián)網(wǎng)上拖庫(指黑客攻擊網(wǎng)站漏洞，竊取包含用戶注冊郵箱和密碼的數(shù)據(jù)庫)、撞庫事件(黑客將數(shù)據(jù)庫聚合在一起，專門針對知名電商網(wǎng)站自動化批量登錄)的接連發(fā)生，大約從2013年開始，支付寶[微博]等第三方支付機構在驗證用戶身份時啟用了賬戶密碼和手機短信驗證的雙重驗證體系，近一兩年來開始擴展至B2C電商平臺。

　　對于電商平臺等具有交易屬性的網(wǎng)站，尤其是綁定有支付卡的網(wǎng)站而言，如果目前還沒有開通綁定手機號的驗證功能，說明其在網(wǎng)絡安全措施上還不到位。”李鐵軍說。

　　李鐵軍認為，對于賬號出現(xiàn)的異常登錄、賬戶個人信息的重大變更，如變更收貨地址等，電商平臺都應當增加手機驗證的方式，以此確保用戶的賬號使用安全。

　　網(wǎng)上交易保障中心副主任喬聰軍認為，當當網(wǎng)的這種認證邏輯存有缺陷。一般情況下，如果用戶要變更原來的手機號碼等資料信息，是需要給原來的手機號碼發(fā)送驗證碼，以確保該變更是在原用戶的掌控下所進行的操作，“否則綁定手機號就變得沒有意義，只是一種擺設”。

　　對于當當網(wǎng)的安全認證機制，業(yè)內(nèi)認識認為，相對于普通用戶，電商平臺更應知曉不同驗證方式對應的風險等級，尤其是此前當當網(wǎng)出現(xiàn)了多起用戶賬號被盜事件，出于保護消費者權益的考慮，在用戶原賬號信息作出重大變更時，應當通過多重方式進行驗證和告知，手機短信驗證應該成為提示的“標配”。

　　盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對的安全，但是在網(wǎng)絡安全事件頻發(fā)的大背景下，對于此次的當當網(wǎng)賬戶余額失竊事件，作為互聯(lián)網(wǎng)服務提供商，應該在現(xiàn)有認知水平范圍內(nèi)認真梳理公司的安全保障機制，這是對用戶應盡的保護義務。

　　更多電商資訊內(nèi)容 參看：http://westcoastpropertyservices.com/ecschool/kdzx/