中國網(wǎng)財(cái)經(jīng)1月15日訊(記者 甄鼎丞) 國內(nèi)電商網(wǎng)站“美麗說”曝出用戶信息泄露事件。近日，多位“美麗說”用戶向中國網(wǎng)財(cái)經(jīng)記者反映，其用戶信息、訂單信息和支付信息遭泄露，騙子正在利用這些個(gè)人信息進(jìn)行詐騙。而被騙金額最多的受害者，被騙走5萬余元，受害者中不乏無穩(wěn)定收入的學(xué)生。

　　對(duì)此，“美麗說”負(fù)責(zé)人表示“經(jīng)過排查，信息泄露的原因并不在我們網(wǎng)站?！?/p>

　　但值得注意的是，去年8月，漏洞公布平臺(tái)烏云網(wǎng)曾發(fā)布“美麗說”網(wǎng)站高危安全漏洞，“美麗說”方面卻選擇忽略。網(wǎng)絡(luò)安全專家龔蔚認(rèn)為，此次用戶信息泄露與上述漏洞或存在聯(lián)系。

　　多位“美麗說”用戶受騙

　　據(jù)受騙者裘小姐介紹，2014年12月31日接到號(hào)碼為4000800577(美麗說客服電話)的來電，對(duì)方聲稱是“美麗說”客服人員，準(zhǔn)確地說出了她的姓名、電話、地址、購買商品信息，以及支付方式。

　　“客服”表示，新員工因?yàn)檎碣Y料失誤，把用戶加入批發(fā)商名單，然后每個(gè)月會(huì)從用戶銀行里面扣除500元，扣12個(gè)月，并詢問是否需要取消。

　　裘小姐確認(rèn)取消的幾分鐘后，接到了自稱是農(nóng)業(yè)銀行的電話。騙子假裝農(nóng)行人員，要求他去農(nóng)行ATM，按照其的指令進(jìn)行取消。但實(shí)際操作卻是，讓裘小姐將卡里的錢轉(zhuǎn)賬給指定賬戶。

　　事后，裘小姐就意識(shí)到可能被騙了，但為時(shí)已晚?！八麄冋f得特別專業(yè)，比銀行人員還專業(yè)，當(dāng)時(shí)我腦袋轉(zhuǎn)不過彎，錢就一下子沒了?！濒眯〗惚硎?。

　　同時(shí)，在微博中也有眾多網(wǎng)友反應(yīng)了與裘小姐相似的被騙經(jīng)歷。記者采訪到了其中7位受害者，網(wǎng)友“一鹿隨鹿”被騙金額最多，共計(jì)5萬余元。受害者中，有多位是還在上學(xué)的學(xué)生。目前，受害者已報(bào)警。

　　對(duì)此，“美麗說”客服表示，用戶接到的客戶電話是偽造的，并非真正的客服電話，最近接到多起此類詐騙投訴的反饋。

　　但當(dāng)中國網(wǎng)財(cái)經(jīng)記者問起反饋的具體數(shù)量時(shí)，“美麗說”相關(guān)負(fù)責(zé)人以“正在協(xié)助公安機(jī)關(guān)調(diào)查”為由，謝絕回答。

　　工程師忽略網(wǎng)站高危漏洞？

　　追悔之余，用戶最為氣憤的是“為何騙子能掌握其準(zhǔn)確的個(gè)人信息、訂單信息和支付信息？”，并質(zhì)疑“美麗說”網(wǎng)站泄露了這些信息。

　　對(duì)于質(zhì)疑，“美麗說”相關(guān)負(fù)責(zé)人解釋稱“經(jīng)過排查，信息泄露不是我們網(wǎng)站安全的原因。但我們還在配合公安機(jī)關(guān)調(diào)查，所以證據(jù)也沒有辦法向外公布。”

　　然而，這種說法似乎并不得到業(yè)內(nèi)人士的信任。

　　2014年8月11日，漏洞公布平臺(tái)烏云網(wǎng)稱發(fā)布高危安全漏洞——《美麗說主庫SQL及N多root權(quán)限數(shù)據(jù)庫配置信息泄露》。漏洞發(fā)布者稱此漏洞可導(dǎo)致獲得企業(yè)各種數(shù)據(jù)庫。

　　著名網(wǎng)絡(luò)安全專家龔蔚也證實(shí)了此漏洞的真實(shí)性。“域名下的數(shù)據(jù)庫最高權(quán)限和全部數(shù)據(jù)庫，都被獲取。”龔蔚向中國網(wǎng)財(cái)經(jīng)記者表示，“據(jù)判斷，美麗說主站上有一個(gè)存放配置文件的目錄，文件里就有鏈接數(shù)據(jù)庫的密碼、地址、端口等信息。但這個(gè)文件沒有加訪問權(quán)限，還是明文顯示，致使不該看到的人看到了(配置)?！?/p>

　　“這是一個(gè)低級(jí)的漏洞?！饼徫悼磥?。

　　然而，就是這樣一個(gè)“低級(jí)的漏洞”，美麗說網(wǎng)站工程師當(dāng)時(shí)的回復(fù)卻是“無影響 廠商忽略”。

　　對(duì)此，“美麗說”方面拒絕置評(píng)。

　　據(jù)官網(wǎng)介紹，“美麗說”網(wǎng)站擁有超過1億的注冊(cè)用戶。

　　“對(duì)于輕視用戶安全的企業(yè)，被曝出問題是遲早現(xiàn)象?！饼徫嫡J(rèn)為。

　　律師：可要求賠償

　　按照《網(wǎng)絡(luò)交易管理辦法》第十八條規(guī)定：網(wǎng)絡(luò)商品經(jīng)營者、有關(guān)服務(wù)經(jīng)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止信息泄露、丟失。在發(fā)生或者可能發(fā)生信息泄露、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。

　　那么，因用戶信息泄露而被騙的受害者，可否要求企業(yè)進(jìn)行賠償？

　　“首先要分清楚，是主觀故意泄露，還是技術(shù)漏洞導(dǎo)致。如果是第一種情況，很有可能構(gòu)成犯罪。因?yàn)樾谭ɡ飳?duì)獲取個(gè)人信息進(jìn)行牟利的行為有專門的規(guī)定。但由于技術(shù)原因或是網(wǎng)絡(luò)攻擊導(dǎo)致的，法律上是沒有明確的賠償比例。需要根據(jù)具體表現(xiàn)，由法院綜合進(jìn)行裁量?！闭憬鸬缆蓭熓聞?wù)所張延來律師向中國網(wǎng)財(cái)經(jīng)記者表示。

　　在張律師看來，如果“美麗說”在保護(hù)措施上非常不完備，未達(dá)到同行業(yè)的標(biāo)準(zhǔn)，有明顯的漏洞的話，那么可要求其承擔(dān)相應(yīng)的法律責(zé)任。

　　同時(shí)，張律師也對(duì)受害者給出建議，“對(duì)于當(dāng)事人，最重要的就是證據(jù)。首先，要證明與美麗說之間是有信息采集關(guān)系。其次，證明企業(yè)出現(xiàn)這樣的漏洞，而漏洞導(dǎo)致了信息泄露。第三，證明因?yàn)樾畔⑿孤督o當(dāng)事人帶來怎樣的損失。要盡可能提供充分的證據(jù)，然后尋求專業(yè)人士的幫助進(jìn)行維權(quán)?！?