您现在的位置:融合网首页 > 工信 > 其他 >

1号店90万用户信息泄露 信息保护流于形式

来源:华夏时报 作者:张汉澍 责任编辑:admin 发表时间:2012-06-11 09:01 
核心提示:“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。

电商新贵1号店正在遭受史上最严重的用户信息泄露压力。5月份的最后几天,一条“售卖1号店90万会员信息资料”的消息在业内不胫而走。“买卖1号店会员信息的那个人曾和我接触过,对方称所卖的数据真实可靠,都是从1号店网站的后台搞出来的。”熟知此事的速途网副总经理王鹏辉对记者说。

用户信息泄密后,1号店大量会员用户通过不同途径反应,自己在1号店账户余额内的资金统统不翼而飞了。账户资金被盗是否与90万会员数据外泄有关?目前,1号店没有给出任何答案。1号店董事长于刚曾向本报记者表达过快速扩张的愿景:“2011年1号店的总营收是27.2亿元,今年达到60亿元只是时间问题,这两年肯定会突破100亿元。”对于急于扩张的1号店而言,此次数据泄露事件将会如何发酵,是否会影响其扩张计划,一切都有待观察。

买了东西丢了钱

“这是我第一次尝试在1号店购物,但也有可能是最后一次。”5月30日晚,1号店注册用户蒋季向本报记者诉说了她的遭遇。蒋季告诉记者,不久前单位给员工每人发了两张1号店的礼品卡作为福利,两张卡中共有700元,5月19日她在1号店下单买了一百多元的东西,账户余额还有500多元。

“5月28日,1号店客服突然给我发了条短信,告诉我账户出现异常状况,怀疑有他人在我的账户里下单,就此通告并修改发给了我新的密码。但当我登录1号店账户时却发现,账户里的余额早已被人盗用一空,而盗用者的下单日期竟是5月25日,也就是说1号店足足推迟了3天才作出反应。”蒋季愤愤地说。

蒋季说,盗用者用她的钱购买东西后寄往了四川省的一个地方。她就此线索向1号店客服进行了投诉。1号店方面称,曾发现过她的账户有异常情况,当时也发出了订单拦截指令,但不知道什么缘故,指令最终并没有生效。

“后来才发现,不光是我一个人,我的同事几乎清一色都被盗取了账户余额。1号店给我们的反馈是,他们已经报警,这个事情要协商处理,让我们另等通知,但却没有给出任何确切的时间,这不像是解决问题的姿态。”蒋季对1号店的处理方式颇感不满。

蒋季和同事的遭遇并非个案,记者在采访中发现,近期集中反映账户资金被盗的投诉比比皆是,在微博上发言投诉1号店的不下数百人,在百度上查找“1号店资金被盗”竟跳出240万个相关结果。

不过,直到5月25日,1号店客服中心才向外界发布了《防诈骗安全提示》的公告,公告中称,如用户发现个人信息被泄露,请立即向1号店举报。目前,1号店公关部人士向记者介绍,公司除向警方报案外,还展开了内部自查,不过该人士并不愿意就自查的进展做进一步披露。

可以赔,但别嚷

3个月前,记者曾问过于刚一个问题:“1号店最看重的是什么?”于刚当时的回答是:“用户体验。”于刚认为,规模化其实是用户体验的副产品,一旦用户体验做好了,规模增长是水到渠成的事。然而,数据外泄的不期而至让用户正遭受损失,用户怀疑,1号店的核心价值观是否落到了实处?目前,1号店已经向部分被盗用户抛出了一份解决方案:即同意赔付失窃余额,但用户必须签署《关于领取1号店垫付款项的确认函》。

记者获悉了该份函件,1号店方面在其中写道:“近期,因本人(指用户)在1号店网站上的注册账户被盗,造成账户余额损失……虽然本人账户被盗是由第三方不法侵害所致,但从客户满意度出发,1号店提出可先行垫付上述账户余额损失金额,本人对此表示感谢,并充分认同和接受1号店提出的垫付款项……本人对上述事宜予以严格保密,未经1号店书面同意,不会向任何第三方披露或提供任何相关信息,如违反上述约定项,本人将归还1号店所有垫付款项,并同意支付等同数量的违约金。”

这一函件正遭到用户广泛地质疑。王鹏辉对此函件批评道:“要求用户签协议才能赔款,这完全是霸王条款。其实就是你把钱存在他们那里,他们没有保管好被偷走了,为了不损害他们的名声,还要求用户承认不是1号店的责任才赔钱。但1号店本来就有责任和义务保管好,丢了就该无条件赔钱。”记者就此协议赔偿的事项向1号店发出采访要求,但截至记者发稿前并未得到任何相关回复。

信息保护流于形式

经历此劫后,1号店的信息安全、账户安全漏洞已完全暴露出来。1号店用户文林告诉记者,1号店曾要求其将账号与手机绑定,假如账户内有超过50元的资金动向,1号店便会向其发送手机信息和动态密码进行确认,以保障安全。

“此后我通过账户购买了有近200元的商品,但手机从未收到过1号店承诺的动态密码。”文林表示。对此,1号店一位客服人员告诉记者,1号店目前已经取消了这一服务,并将标准修改至500元以上才会对用户进行安全提醒,而修改的理由竟是令人匪夷所思的“为了方便客户”。

1号店如何维护500元以下账户资金的使用安全?该客服人员的建议居然是,可以通过频繁修改密码让外界无法掌握。记者了解到,目前1号店对于账户资金的安全措施仅停留在单层密码保护的状态,一些电商所用的诸如U盾卫士、动态密码计算和登入密保卡,1号店目前均未使用。

而1号店90万会员数据的外泄原因目前也仍是个谜。对此,1号店在接受采访中始终讳莫如深。中国电子商务研究中心分析师冯林向本报记者表示,许多电商网站对会员信息资料使用的都是明文而非加密的保存方式,在这种情形下,电商企业内部会有很大的信息外泄隐患。

一位曾负责过电商运营安全的行业人士表示,他曾对市面上泄露的电商数据样本做过分析,结果显示,85%的外泄都是由电商内部人士自己泄露出来的,仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。

“绝大多数电商其实对会员数据信息安全的问题并不敏感,特别是快速发展中的电商,它们的IT部门平日里忙得不可开交,根本没有多余的精力放在提高信息安全性上。电商技术部门的绝大多数开发人员都拥有访问后台会员数据的权限,一些业务部门也可以得到这些访问权限,这就意味着会员信息数据有许多被外泄的可能性。导致这些问题的原因在于网站系统架构设计不合理,在项目初期,技术部没有考虑将数据访问层和业务层进行分离。”上述人士分析称。

“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    新闻关注排行榜

    热门推荐 最新推荐
    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号