消费者投诉网欢迎您!消费者维权投诉举报专业平台,真实直播消费者的投诉、举报、维权、打假。
当前位置:主页 > 消费指南 > 315曝光 >

当当网用户账户屡遭盗刷 责任推给不法分子

2014-03-20东方财富网

 

当当网用户账户屡遭盗刷 责任推给不法分子
 
  李国庆如果有精力的话,应该好好解决一下当当网的用户账户安全问题,然而,作为CEO的他,把更多的精力用在了对行业和竞争对手的“放炮”上。
 
  两年前,当当网就已经发生了用户账户遭盗刷的情况,彼时,李国庆还可以称可能是CSDN事件带来的影响,然而,两年后,当其他电商网站在逐渐加强自身漏洞修复的同时,当当网依然停留在原地。用户账户再次被曝盗刷,而当当网也一如既往地傲慢,把责任推给了“不法分子”。
 
  脆弱的安全体系
 
  近日,来自安徽的吴先生通过本网的315投诉平台,表示自己的当当网账户在今年1月6日遭到盗刷,金额为1200多元,与当当网交涉后,没有得到对方的任何合理答复。
 
  根据吴先生发来的当当网账户图片显示,今年1月6日,他的当当网账户订购了一款小米红米3G手机,金额为1198元,加上运费,总计支付金额为1228元。然而,这比订单并不是吴先生所下,订单收获地址也不是吴先生的住址安徽省。根据顺丰快递的物流截图显示,订单是发往广东省肇庆市,签单人显示为吴先生的女友。
 
  “我跟我女友一直在安徽,也从没有通过当当网订购这款小米红米手机,怎么钱就自己没了?”吴先生十分不解,自己的账户为何遭到盗刷。
 
  无独有偶,来自广东的魏先生在3月6日打开当当网账户时,发现账户里700多元的预留资金被盗刷,邮箱和电话也都被篡改。
 
  “我网购龄已经7-8年了,第一次遇到这种事情(账户遭盗刷),我觉得很气愤。”黄女士对本网表达了自己对当当网不满。
 
  用户账户遭盗刷并非个案。3月9日,当当网证实,此次用户账户被盗金额总计123164.76元,涉及113位用户,通过系统及人工手段已拦截61342.16元,用户实际损失为61822.6元。
 
  然而,让魏先生难以理解的是,自己预留的邮箱和电话没有收到任何来自当当网方面的提示。
 
  对于用户这样的质疑,当当网表示:“自2012年7月份之后,我们添加了人工审核机制。用户信息被修改以后,如果出现可疑订单,会被审单系统自动切入人工审单流程,如果订单确实可疑,会有工作人员与消费者取得联系核实。”
 
  事实上,吴先生与黄女士在账户遭盗刷时,也都没有收到来自当当网方面的人工核实。“都是登陆当当网账户发现被盗刷时,我们主动与当当网客服联系的。”
 
  北京的@家有一宝轩则在自己微博上表达了自己对当当网账户遭盗刷的不满:“我的账户、手机、支付密码都是绑定了的,怎么还能盗刷成功呢?”
 
  当当网则在给本网的邮件中分析称,这是一些不法分子通过邮箱验证的方式修改了用户的账户信息并最终完成盗窃。判断用户的邮箱和邮箱密码泄露,不法分子通过邮箱验证的方式获得了当当网的账户密码和支付密码,并修改用户个人信息,在用户不知情的情况下完成了盗窃。
 
  漏洞已经补上?
 
  针对用户不断被曝出账户遭盗刷的情况,当当网方面的应对策略则是被动出招,除了对用户进行一些赔付,当当网曾称已经对自身的安全支付进行相关升级。
 
  2012年3月,当当网曾因用户账户被盗事件而宣布紧急冻结所有用户的账户余额及礼品卡三天。当年6月,当当网再被曝出用户账户遭盗刷。
 
  两年前的盗刷事件,当当网方面称可能与CSDN等众多互联网网站大量账户密码数据丢失有关,希望用户能主动报警,等待警方的调查结果。两年过去了,用户没有等来警方的调查结果,盗刷却再次像幽灵一样,让在用户心悸。
 
  彼时,当当网称,用户账户被盗刷与当时CSDN等众多互联网网站大量账户密码数据丢失有关。当当网CEO李国庆当时称:“案子破获不难,这也不是我们的责任。”
 
  当当网对于用户账户再遭盗窃则是这样解释的:“对于整个电子商务企业来说,都面临一个问题,消费者在很多网站的用户名、密码信息是相同的,一个网站的用户名密码泄露就可能导致多个网站的个人账户安全都受到威胁。”
 
  “很多不法分子就是利用这种普遍问题,通过盗取消费者邮箱或一些安全级别不高的网站的注册用户名和密码,到各大电商平台上去尝试登陆,有一定几率会登陆成功,然后再利用邮箱验证修改账户信息(绑定手机、邮箱、支付密码等)以此窃取消费者的账户资金。”当当网强调。
 
  当当网方面同时对本网强调称:“我们采用的安全管理体系与主流电商完全一致,从技术排查上看不存在漏洞。”当当网有邮箱验证、手机验证、支付密码多重验证方式。
 
  对此,有IT界内部人士称,当当网的用户账户被盗刷,无论与CSDN信息泄露有没有关系,作为电商企业的当当网,都应该认真而充分地考虑交易系统是否存在风险。
 
  网络安全专家则表示,当当网等电商公司应该有自己的专业安全团队,建立一个良好的网络安全机制,从制度上防止未经授权的员工不恰当地下载复制用户数据。
 
  “拖等耗”解决一切?
 
  多位当当网的用户也对当当的处理问题的“踢皮球”表达了不满。
 
  账户在今年3月4日遭盗刷的黄女士愤懑地对本网记者表示:“我上网查过当当网2012年就出现了这个情况了,是他们系统的漏洞导致不法分子乘虚而入的,他们至今都没解决问题,出问题就让消费者自行报警。当当网跟都没有给消费者一个安全的交易环境,出事不作为,让客户自己买单。”
 
  尽管承诺用户账户被盗刷当当先行赔付,但这仍难以获得被盗刷用户的理解。事实上,当当网对此事处理表现出的“拖等耗”的态度,也耗尽了许多用户对当当网的耐心。
 
  “我向当当网客服投诉,客服的回应是让我会给公安报警,请耐心等待,但是我到现在也没有从当当网拿到被盗款。”黄女士表示。黄女士还称,当当网之前就有这样的案例,每次都把“皮球”踢给了警方,用户的问题根本就没有得到解决。
 
  “这么不安全的网站,以后再也不用了。”吴先生则以这样的方式宣告了与当当网的决裂。
 
  此外,多位法律人士指出,发生账号被盗如果是电子商务网站系统存在漏洞、不安全,本来就该追究网站责任,但是,用户要证明网站系统不安全,举证却并非易事。
 
  如果在今年3月15日之前,当当网还能将盗刷归咎于黑客或者各种安全事件,但随着新消法在今年3月15日的正式实施,届时,由经营者承担举证责任,当当网就难辞其咎了。在这之前用户要证明当当网系统不安全,举证并非易事,在这以后,当当网就要自证网站是否安全。
 
  显然,留给当当网和李国庆的时间已经不多了。