當(dāng)當(dāng)網(wǎng)賬戶余額失竊 安全認(rèn)證成虛設(shè)

　　近日，有用戶爆料自己的當(dāng)當(dāng)網(wǎng)賬戶余額失竊了，而綁定的手機(jī)未收到任何提示短信，也就是說當(dāng)當(dāng)網(wǎng)手機(jī)號綁定這一安全措施形同虛設(shè)。

　　據(jù)報道，對于用戶網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛這一事件，根據(jù)當(dāng)當(dāng)網(wǎng)客服人員的說法，這是郵箱密碼泄露所招致的被盜，不過對于這樣的回應(yīng)，用戶并不能接受，并表示自己明明已經(jīng)綁定了手機(jī)號，黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額，也就是說，手機(jī)號綁定這一安全措施形同虛設(shè)，難道當(dāng)當(dāng)網(wǎng)沒有一點責(zé)任?

　　當(dāng)當(dāng)網(wǎng)賬戶現(xiàn)金余額和禮品卡頻繁失竊

　　今年5月27日，來自廣州的用戶何麗在登錄當(dāng)當(dāng)網(wǎng)時，網(wǎng)站提示：賬號密碼錯誤。起初，何麗以為是兩個月未登錄該賬戶，忘記了密碼，便通過當(dāng)初認(rèn)證的郵箱上嘗試找回密碼。

　　不過，當(dāng)她找回密碼重新登錄后，卻發(fā)現(xiàn)自己在當(dāng)當(dāng)網(wǎng)賬號下的原有禮品卡余額由應(yīng)有的359元變?yōu)?，原先的訂單信息也全部消失。“我的賬號雖然還在，但卻已經(jīng)變成了空賬號。”

　　其實，此次并非當(dāng)當(dāng)網(wǎng)用戶第一次遭遇盜號事件。早在2012年初，當(dāng)當(dāng)網(wǎng)就被爆出大量用戶賬號被盜。當(dāng)時，當(dāng)當(dāng)網(wǎng)對媒體給出的解釋是源于CSDN[微博]網(wǎng)站數(shù)千萬用戶密碼被泄露。

　　2014年3月，當(dāng)當(dāng)網(wǎng)再次被爆出用戶賬戶余額被盜事件，當(dāng)當(dāng)網(wǎng)對此發(fā)布公告稱，此次賬號余額被盜事件是由于其WAP端存在安全漏洞所引起的，當(dāng)當(dāng)也承諾由此造成的消費(fèi)者損失，會由公司先行賠付。

　　今年3月，一名“王差飛向月球”的微博用戶，在微博上也反映：自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。

　　另據(jù)媒體報道，今年5月，在杭州濱江一家證券公司上班的朱小姐，禮品卡內(nèi)1300余元也被盜刷……

　　僅用郵箱變更賬號信息已滯后

　　對于此次何麗賬戶余額失竊事件，當(dāng)當(dāng)網(wǎng)客服人員否認(rèn)網(wǎng)站存有缺陷，也拒絕承擔(dān)任何責(zé)任。那么由郵箱申請賬號后，單純通過郵箱變更電商賬號內(nèi)所有信息是否屬于行業(yè)通行的做法呢?

　　獵豹移動安全專家李鐵軍在接受記者采訪時表示，之前，互聯(lián)網(wǎng)服務(wù)提供者主要通過用戶名和密碼確認(rèn)登錄者的身份，變更一般也通過認(rèn)證的郵箱來進(jìn)行。

　　不過，李鐵軍表示，隨著互聯(lián)網(wǎng)上拖庫(指黑客攻擊網(wǎng)站漏洞，竊取包含用戶注冊郵箱和密碼的數(shù)據(jù)庫)、撞庫事件(黑客將數(shù)據(jù)庫聚合在一起，專門針對知名電商網(wǎng)站自動化批量登錄)的接連發(fā)生，大約從2013年開始，支付寶[微博]等第三方支付機(jī)構(gòu)在驗證用戶身份時啟用了賬戶密碼和手機(jī)短信驗證的雙重驗證體系，近一兩年來開始擴(kuò)展至B2C電商平臺。

　　對于電商平臺等具有交易屬性的網(wǎng)站，尤其是綁定有支付卡的網(wǎng)站而言，如果目前還沒有開通綁定手機(jī)號的驗證功能，說明其在網(wǎng)絡(luò)安全措施上還不到位。”李鐵軍說。

　　李鐵軍認(rèn)為，對于賬號出現(xiàn)的異常登錄、賬戶個人信息的重大變更，如變更收貨地址等，電商平臺都應(yīng)當(dāng)增加手機(jī)驗證的方式，以此確保用戶的賬號使用安全。

　　網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為，當(dāng)當(dāng)網(wǎng)的這種認(rèn)證邏輯存有缺陷。一般情況下，如果用戶要變更原來的手機(jī)號碼等資料信息，是需要給原來的手機(jī)號碼發(fā)送驗證碼，以確保該變更是在原用戶的掌控下所進(jìn)行的操作，“否則綁定手機(jī)號就變得沒有意義，只是一種擺設(shè)”。

　　對于當(dāng)當(dāng)網(wǎng)的安全認(rèn)證機(jī)制，業(yè)內(nèi)認(rèn)識認(rèn)為，相對于普通用戶，電商平臺更應(yīng)知曉不同驗證方式對應(yīng)的風(fēng)險等級，尤其是此前當(dāng)當(dāng)網(wǎng)出現(xiàn)了多起用戶賬號被盜事件，出于保護(hù)消費(fèi)者權(quán)益的考慮，在用戶原賬號信息作出重大變更時，應(yīng)當(dāng)通過多重方式進(jìn)行驗證和告知，手機(jī)短信驗證應(yīng)該成為提示的“標(biāo)配”。

　　盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對的安全，但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下，對于此次的當(dāng)當(dāng)網(wǎng)賬戶余額失竊事件，作為互聯(lián)網(wǎng)服務(wù)提供商，應(yīng)該在現(xiàn)有認(rèn)知水平范圍內(nèi)認(rèn)真梳理公司的安全保障機(jī)制，這是對用戶應(yīng)盡的保護(hù)義務(wù)。

　　更多電商資訊內(nèi)容 參看：http://descansotropical.com/ecschool/kdzx/