7月28日,有当当网用户向记者爆料称,在当当网下单买书后仅一天,个人信息就被骗子掌握,骗子利用详细的订单信息博取自己的信任,引导自己进入假网站,输入银行信息后,被转走约十万元。当当网对此回应称,可能是用户邮箱被盗导致信息泄露。
买书信息成诱饵,用户掉进假网站陷阱
7月25日上午,深圳的郭先生在当当网下单买了4本书。第二天下午2点40分左右,接到了一个自称当当网客服人员的电话,告诉郭先生昨日的订单因系统问题付款未成功,需转成货到付款,且要进入退款系统申请,把之前付的钱退回。
“他知道我前一天全部的购买信息。买了哪四本书、花了多少钱、下单时间、我的电话住址都知道,所以我才相信了他。”郭先生对新京报记者说。“而且通话过程中可以听到对方周围环境里有很多人在打电话说付款的问题,像客服呼叫中心的氛围。”
郭先生进入对方发来的“退款系统”,输入姓名、账户信息、密码等资料后,点击下一步,进入验证码页面,郭先生的手机随即收到了银行发来的短信验证码。
输入验证码后,系统显示验证超时,请稍后获取。郭先生连续获取了三次,终于显示退款成功。
直到此时,郭先生还没有察觉被骗。大约五个小时后,郭先生在查看自己账户时,才发现少了十万元。
郭先生输入三次验证码,转账金额依次为49999元、49999和4949元,短短几分钟内账户共被划走104947元。
“那网站简直和当当网站一模一样。”郭先生说,“还因为他知道我的订单信息,我就更不怀疑了。来验证码没多想就直接输入了。”
据调查,郭先生的钱转入的账号户名为王丹妮,开户行是贵州农业银行某支行。
责任难划定,用户维权难
郭先生随后致电当当网,客服人员回应称:“这个事和我们没有关系,属于你的个人行为。如果警察需要我们协助,我们可以配合。”
而郭先生认为,自己前一天买书,第二天详细的订单信息就到了骗子手里,当当网是有责任的。
对此,知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领称:“用户和电商网站间是合同关系,网站有基本义务保证用户的信息安全。如果因为网站对信息保管不善,最终导致用户信息泄露,对用户造成损失的,网站应该承担赔偿责任。”
“但是用户很难证明是当当泄露的信息,这里的责任比较难以划定。”赵占领向记者解释。
“泄露有多重可能,有可能是网站技术上有漏洞或管理上有问题,导致用户信息泄露,也有可能是用户这端因为电脑中毒或其他途径。这也是用户维权最大的困难。”赵占领说。
当当回应称或因用户邮箱被盗
记者联系当当网方面,当当网相关负责人对记者承认,最近确实收到一些相关的反馈,内部也在进行排查,目前看到的最多的原因是一些用户的邮箱被盗泄露信息问题。
这位负责人向记者介绍,信息被泄露的用户集中使用了某一两个邮箱对当当网进行了注册,而骗子所掌握的信息可能来自当当网给用户发到注册邮箱中的订单信息。
“通过邮箱,骗子可以随时知道你账户的变动,你买了什么。”该负责人对记者说。
这位负责人还对记者表示,当当网一直在践行着保护用户隐私的义务,“我们一直在通过各种渠道告知消费者,我们从来不会用电话短信等方式通知用户退货退款,并提醒用户提高警惕。”
对于已经造成损失的用户是否负有责任,该负责人表示,这个责任需要警方来判定,明确泄露的渠道到底是什么,然后才能确定。
而对于可能的信息泄露途径,360首席工程师郑文彬分析称,可能是邮箱被盗致信息泄露,也有可能是网站自己技术的漏洞所致。
近年来当当网被曝信息泄露事件一览
● 2011年11月份
当当网被国内安全问题反馈平台wooyun(乌云)曝出由于设计缺陷可导致用户资料泄露。
● 2011年12月28日
有媒体报道“当当网1200万用户信息疑遭泄露”,当当网随后发声明表示,该说法并不属实。其表示,网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据。
● 2012年5月
艾瑞咨询前分析师黄渊普通过微博发了条《当当网,你把我的个人信息卖了》的长微博质疑当当网。
● 2014年3月
当当网又陷账户被盗事件,当时多名当当网用户透露,自己的账户疑似遭人暗中盗刷,不但莫名其妙扣除余额下单给陌生人,连注册邮箱也被修改,导致无法追回自己的账号。
● 2014年7月