網(wǎng)站賬戶里原本應(yīng)有的禮品卡和余額不翼而飛，而用戶綁定的手機卻從未收到過任何提示短信。

　　近日，當當網(wǎng)用戶何麗就遭遇了上述事件。雖然根據(jù)當當網(wǎng)客服人員的說法，這是郵箱密碼泄露所招致的被盜，不過對于這樣的回應(yīng)，何麗并不能接受。她認為，明明自己已經(jīng)綁定了手機號，黑客卻僅憑郵箱就變更了資料并竊取了賬戶金額，也就是說，手機號綁定這一安全措施形同虛設(shè)，難道當當網(wǎng)沒有一點責任？

　　“不排除當當網(wǎng)在安全認證邏輯上存有瑕疵。”業(yè)內(nèi)人士告訴法治周末記者，盡管互聯(lián)網(wǎng)企業(yè)難以保障絕對的安全，但是在網(wǎng)絡(luò)安全事件頻發(fā)的大背景下，作為互聯(lián)網(wǎng)服務(wù)提供商，應(yīng)該在現(xiàn)有認知水平范圍內(nèi)認真梳理公司的安全保障機制，這是對用戶應(yīng)盡的保護義務(wù)。

　　禮品卡和現(xiàn)金余額都不翼而飛

　　5月27日，來自廣州的用戶何麗在登錄當當網(wǎng)時，網(wǎng)站提示：賬號密碼錯誤。起初，何麗以為是兩個月未登錄該賬戶，忘記了密碼，便通過當初認證的郵箱上嘗試找回密碼。

　　不過，當她找回密碼重新登錄后，卻發(fā)現(xiàn)自己在當當網(wǎng)賬號下的原有禮品卡余額由應(yīng)有的359元變?yōu)?，原先的訂單信息也全部消失。“我的賬號雖然還在，但卻已經(jīng)變成了空賬號。”

　　5月28日，何麗聯(lián)系當當網(wǎng)客服人員，要求由其查證被盜原因并恢復(fù)自己賬號中的資料。隨后，客服人員告知其賬號被盜的原因是何麗自己的郵箱賬號及密碼被盜，何麗賬號下的用戶名、預(yù)留的手機號碼已統(tǒng)統(tǒng)更改為她不認識的號碼和資料。

　　在何麗的要求下，當當網(wǎng)客服幫助其將自己原來的資料移動到新注冊的郵箱底下。重新進入原有賬戶后，何麗發(fā)現(xiàn)，賬戶原有的15元現(xiàn)金也被消費完。

　　依照訂單顯示的詳情，所購貨品為兩包嬰兒紙尿片，寄送到深圳的某一地點，訂單中顯示有手機號，不過何麗撥打過去卻顯示為關(guān)機狀態(tài)。

　　其實，此次并非當當網(wǎng)用戶第一次遭遇盜號事件。早在2012年初，當當網(wǎng)就被爆出大量用戶賬號被盜。當時，當當網(wǎng)對媒體給出的解釋是源于CSDN網(wǎng)站數(shù)千萬用戶密碼被泄露。

　　2011年年底，程序員網(wǎng)站CSDN、天涯社區(qū)出現(xiàn)大規(guī)模的用戶數(shù)據(jù)泄露事件，超過5000萬個用戶賬號和密碼在網(wǎng)上公開擴散。由于很多用戶習慣在不同網(wǎng)站使用相同的賬戶密碼，給不法分子留下了可乘之機。不僅當當網(wǎng)被波及，京東、一號店等電商也集中爆發(fā)禮品卡盜刷事件。

　　2014年3月，當當網(wǎng)再次被爆出用戶賬戶余額被盜事件，當當網(wǎng)對此發(fā)布公告稱，此次賬號余額被盜事件是由于其WAP端存在安全漏洞所引起的，當當也承諾由此造成的消費者損失，會由公司先行賠付。

　　此次何麗在發(fā)現(xiàn)賬號被盜后，在向警方報案的同時，也聯(lián)系了當當網(wǎng)客服進行投訴。

　　6月19日，當當網(wǎng)公關(guān)總監(jiān)徐淳在回復(fù)法治周末記者采訪時也證實：何麗的郵箱被盜是出現(xiàn)此事件的原因。

　　“經(jīng)過公司內(nèi)部核查，何麗的賬號在今年3月底被盜，賬號被盜原因可能為用戶郵箱被盜所致，建議用戶報警?！毙齑窘榻B，關(guān)于盜用者的信息，當當網(wǎng)也在追查中，并會積極配合警方調(diào)查。

　　僅用郵箱變更賬號信息已滯后

　　法治周末記者了解到，近段時間以來，當當網(wǎng)用戶中遭遇賬號被盜、賬戶內(nèi)禮品卡被盜刷的不僅是何麗一人。

　　今年3月，一名“王差飛向月球”的微博用戶，在微博上也反映：自己在未收到短信提示的情況下賬戶內(nèi)資料被更改、禮品卡內(nèi)1500元也被用光。當時，他還將自己的遭遇@了“當當網(wǎng)”和“當當李國慶”。另據(jù)媒體報道，今年5月，在杭州濱江一家證券公司上班的朱小姐，禮品卡內(nèi)1300余元也被盜刷……

　　讓何麗頗為困惑的是，自己重新登錄當當賬戶后，發(fā)現(xiàn)郵箱和手機號碼等重要資料的篡改，全部通過郵箱完成，自己綁定的手機號碼并未收到任何提醒。

　　“平時在當當網(wǎng)的消費和充值情況，手機都會收到短信，但盜號者盜用賬號、修改手機號時，我的手機卻沒有收到任何提醒警示或者驗證。所以我認為，這是當當網(wǎng)流程和系統(tǒng)設(shè)置的一個大漏洞?！焙嘻愓J為，正是當當網(wǎng)在身份認證機制上的缺陷，才使得自己發(fā)生了損失。

　　不過，何麗告訴法治周末記者，當當網(wǎng)客服人員否認網(wǎng)站存有缺陷，也拒絕承擔任何責任。

　　那么由郵箱申請賬號后，單純通過郵箱變更電商賬號內(nèi)所有信息是否屬于行業(yè)通行的做法呢？

　　獵豹移動安全專家李鐵軍在接受法治周末記者采訪時表示，之前，互聯(lián)網(wǎng)服務(wù)提供者主要通過用戶名和密碼確認登錄者的身份，變更一般也通過認證的郵箱來進行。

　　不過，李鐵軍表示，隨著互聯(lián)網(wǎng)上拖庫(指黑客攻擊網(wǎng)站漏洞，竊取包含用戶注冊郵箱和密碼的數(shù)據(jù)庫)、撞庫事件(黑客將數(shù)據(jù)庫聚合在一起，專門針對知名電商網(wǎng)站自動化批量登錄)的接連發(fā)生，大約從2013年開始，支付寶等第三方支付機構(gòu)在驗證用戶身份時啟用了賬戶密碼和手機短信驗證的雙重驗證體系，近一兩年來開始擴展至B2C電商平臺。

　　“對于電商平臺等具有交易屬性的網(wǎng)站，尤其是綁定有支付卡的網(wǎng)站而言，如果目前還沒有開通綁定手機號的驗證功能，說明其在網(wǎng)絡(luò)安全措施上還不到位?！崩铊F軍說。

　　李鐵軍認為，對于賬號出現(xiàn)的異常登錄、賬戶個人信息的重大變更，如變更收貨地址等，電商平臺都應(yīng)當增加手機驗證的方式，以此確保用戶的賬號使用安全。

　　法治周末記者在采訪中了解到，一些電商平臺如淘寶網(wǎng)，如果用戶要修改密碼或者進行其他事項的變更，為了保障賬戶安全，在進行變更前都需要確認對方身份，如果賬戶綁定了手機，則優(yōu)先進行手機校驗；若未綁定則可以選擇登錄郵箱進行校驗。

　　變更賬戶機制被指不合理

　　網(wǎng)上交易保障中心副主任喬聰軍認為，當當網(wǎng)的這種認證邏輯存有缺陷。他向法治周末記者介紹，一般情況下，如果用戶要變更原來的手機號碼等資料信息，是需要給原來的手機號碼發(fā)送驗證碼，以確保該變更是在原用戶的掌控下所進行的操作，“否則綁定手機號就變得沒有意義，只是一種擺設(shè)”。

　　6月18日，法治周末記者以用戶身份致電當當網(wǎng)客服，一位男性客服人員告訴記者，如果客戶是以手機號碼申請的當當網(wǎng)賬號，那么要對賬戶信息進行變更必須通過手機進行驗證；如果是以郵箱申請的賬號，在用戶通過安全中心綁定了手機的情況下，當當網(wǎng)會提供郵箱驗證和手機驗證兩種方式，用戶選擇其中一種即可。

　　該客服人員稱，如果用戶以郵箱申請當當網(wǎng)賬號后，賬戶密碼還同原來的郵箱密碼保持一致，就會存有非常高的風險，容易使不法分子通過郵箱驗證的方式，變更其所有的信息。

　　何麗告訴法治周末記者，其最初的當當賬號密碼同郵箱密碼并不相同，而是存在明顯的差異。此次事件后，她又以QQ郵箱重新申請了一個新的當當賬號，也綁定了手機號，但是客服人員仍然告訴她，即使綁定，也可以選擇通過郵箱更改所有資料。

　　何女士認為，在綁定手機號的情況下，還可以單純通過郵箱進行變更，這樣的認證方式缺乏合理性，也讓變更者缺乏制約。

　　法治周末記者也就該問題采訪了徐淳。徐淳表示，當當網(wǎng)對客戶的賬號安全有嚴密的保護措施，包括郵箱驗證、手機驗證等身份驗證方式，不過對于何麗遭遇的情形，其需要同技術(shù)部門溝通查詢更多信息。截至記者發(fā)稿，當當網(wǎng)方面未就該問題作出回應(yīng)。

　　對此，李鐵軍認為，即使密碼不同，只要不法分子掌握用戶的郵箱和密碼，就可以像何麗一樣，通過“找回密碼”的方式登錄平臺賬號，修改相關(guān)信息，同時關(guān)聯(lián)到自己的手機上。因此李鐵軍認為，在綁定手機號的情形下，僅通過認證郵箱就可以變更所有用戶資料的做法是欠妥當?shù)摹?

　　電商平臺應(yīng)盡更高注意義務(wù)

　　對于當當網(wǎng)的認證機制，喬聰軍也認為，相對于普通用戶，電商平臺更應(yīng)知曉不同驗證方式對應(yīng)的風險等級，尤其是此前當當網(wǎng)出現(xiàn)了多起用戶賬號被盜事件，出于保護消費者權(quán)益的考慮，在用戶原賬號信息作出重大變更時，應(yīng)當通過多重方式進行驗證和告知，手機短信驗證應(yīng)該成為提示的“標配”。

　　“打個比方，用戶用郵箱申請的賬戶及密碼相當于家庭中的防盜門，綁定手機號的用戶資金賬戶是屋內(nèi)的木門，一般來說兩個門都要有鑰匙，而且是不同的鑰匙。如果用戶不慎丟失了防盜門的鑰匙，通過木門的鑰匙也能防止資金賬戶被盜刷，而非單純通過一個郵箱就打開了所有的門。”喬聰軍說。

　　中國電子商務(wù)政策法律委員會副主任劉春泉在接受法治周末記者采訪時表示，我國消費者權(quán)益保護法規(guī)定了企業(yè)負有確保消費者信息安全的義務(wù)，作為企業(yè)應(yīng)當采取技術(shù)和其他必要措施，防止消費者個人信息泄露、丟失，“不過要想讓企業(yè)絕對地保障安全，這是做不到的”。

　　不過，劉春泉認為，如果是基于現(xiàn)有認識水平可以預(yù)料到這種瑕疵或者漏洞、但不予改進，那就是有過錯，如果因為這種瑕疵或者漏洞對用戶造成損失，那么電商平臺就應(yīng)當承擔一定的責任。

　　喬聰軍認為，在互聯(lián)網(wǎng)信息安全事件頻發(fā)的背景下，作為互聯(lián)網(wǎng)服務(wù)提供商，應(yīng)當認真梳理身份認證的邏輯，加大信息安全方面的投入，切實保障消費者的權(quán)益。

　　此外，李鐵軍對記者介紹，很多用戶在互聯(lián)網(wǎng)上使用同一套用戶名和密碼，“這種做法的危險性是非常高的，被盜幾乎是一定的，只是時間早晚的問題”。

　　李鐵軍介紹，如果用戶在不同網(wǎng)站都使用相同的注冊郵箱和密碼，一旦有一家網(wǎng)站被黑客拖庫，不法分子就會批量嘗試去其他網(wǎng)站登錄，即進行撞庫，一旦撞庫成功，不法分子就會獲取用戶更多的個人信息，或用于竊取賬戶金額，或者用于實施詐騙。

　　為此，李鐵軍建議消費者，對于有交易屬性的網(wǎng)購平臺的用戶名和密碼盡可能保證唯一性，不要與郵箱密碼或者其他網(wǎng)站的登錄信息一致。此外，如果認為某電商平臺的安全保障措施欠缺，李鐵軍建議消費者不要綁定銀行卡或第三方支付賬號，以免遭受更大的損失。