中国IDC圈3月22日报道:据经济之声《天下公司》报道,互联网泄密隐患,现在仍在考验着中国的互联网公司。3月20日,当当网宣布,鉴于当当网出现个别消费者账户被盗、余额被盗用的情况,为避免用户遭受损失,紧急决定于3月19日至21日冻结该网所有账户的余额及礼品卡。
经济之声记者就此采访了当当网的公关部经理叶小舟,他表示用户资金余额被盗用的投诉从今年正月初就开始了。
叶小舟:在正月初的时候,我们在第一时间就已经向警方报案,我们也在收集和整理一些不法分子留下来的证据,我们也希望消费者能够向当地机关报案,我们也可以配合消费者提供相关的证据。
目前当当网收到投诉的用户数大约在100人左右。消费者损失在几十到几百元不等。当当网表示经审核确认后,将分批给予用户全额补偿。冻结账户余额目前没有给用户使用带来不便。
叶小舟:首先对于已经冻结的那些用户已经发生的损失,经过审核后是会分批全额的向用户进行补偿,我们冻结的也只是账户中的余额,没有冻结账户,消费者依然可以通过网银支付货到付款的方式进行购买。
但是对于受损失的用户来说,自己的账户如此不安全,似乎成了一块心病。
用户:有一个问题是8千多块钱回来以后,8千块钱怎么花对于我来说是很胆战心惊的事情,不知道要花还是不要花,这个事情不是我一个人受损失,这个过程当中当当也是受害者,不知道他们有什么技术缺陷,等于他们的声誉受损。
针对用户账户被盗刷的情况,当当网官方发表声明表示,经核实,很多互联网用户习惯在不同网站上使用统一的账户和密码,由于2011年CSDN互联网泄密事件导致大量账户密码数据丢失,给不法分子留下了可乘之机。
对于近期出现用户在电商网站账号被盗刷现象,网络安全工程师张震宝表示,此次用户账户被盗刷,还是与去年用户网络账户大规模失窃有直接关系。只是一些用户的账户里面没有钱,因此没有被不法分子"看上"。
张震宝:近年很多网站都被偷户泄密,不是当时的泄密,而是已经存在很长时间了被黑客公开集中包装出来,但实际上网站用户数据泄漏的情况一直存在。
张震宝认为,账号被盗刷暴露电商运营管理中存在漏洞,责任主要在网站,网站就是要不断维护、修补,保障信息安全。
张震宝:主要是网站的问题而不是用户自身的问题,用户的帐号和密码被黑,这种情况就得要求网站来做好措施,像微软有全世界最顶尖的技术人员,照样每个月都会定期来发布来修复一些漏洞,因为只要是人编写的程序必然会存在漏洞,只不过黑客挖掘出来的时机问题,你必须得不断的去维护,而不是说只要做好一个措施,就能够保证数据库永远都是安全的。
不断曝出的用户网络"钱包"被盗刷,电商网站应该考虑交易系统是否存在风险。互联网公司具有很多种技术手段,可以对此进行控制,如在服务器端对同一IP地址的大量登录进行限制、异地登录锁定、付款短信密码提示等。网站要对用户账户登录情况进行监控,一旦发现登录地址异常,就应该给用户发出提醒和警示。这些都是网站从技术上完全可以做到的。
张震宝:有的网站已经这么做了,会增强自己本身帐号的安全验证机制,因为黑客在偷这些网站号余额的时候是运用批量化、自动化的工具,只要对这个网站的工具进行防范,比如说可以限制一个IP的次数,就能够在一定程度上起到保护用户帐号安全的作用。或者对用户帐号的登录还有帐号资金支付身份验证,增加一些安全的措施,防止黑客利用自动化的程序就能够批量的去偷帐号余额。
事实上,早在去年12月,当当网官方就承认用户信息被盗,然而,当当网并未就此对用户消费加强限制。在密码泄露事件后,用户仍可购买礼品卡进行账户充值,并在消费时不需进一步验证。
互联网安全人士称,对于一些具有用户账户预付功能的网站,目前均存在一定的被盗风险。目前黑客盗用用户余额的方式,主要是利用此前外泄的密码,进行大量匹配的程序登录,并查找有余额的账户进行消费。
现在当当网的意见是因为去年存在过一个大规模的用户资料泄漏外泄的情况,有些用户使用的密码和他们的密码是一致的,所以他们存在这种被盗的风险。