當(dāng)當(dāng)網(wǎng)安全認(rèn)證形同虛設(shè)：賬戶被盜余額不翼而飛

變更賬戶機(jī)制被指不合理

網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為，當(dāng)當(dāng)網(wǎng)的這種認(rèn)證邏輯存有缺陷。他向法治周末記者介紹，一般情況下，如果用戶要變更原來的手機(jī)號(hào)碼等資料信息，是需要給原來的手機(jī)號(hào)碼發(fā)送驗(yàn)證碼，以確保該變更是在原用戶的掌控下所進(jìn)行的操作，“否則綁定手機(jī)號(hào)就變得沒有意義，只是一種擺設(shè)”。

6月18日，法治周末記者以用戶身份致電當(dāng)當(dāng)網(wǎng)客服，一位男性客服人員告訴記者，如果客戶是以手機(jī)號(hào)碼申請(qǐng)的當(dāng)當(dāng)網(wǎng)賬號(hào)，那么要對(duì)賬戶信息進(jìn)行變更必須通過手機(jī)進(jìn)行驗(yàn)證；如果是以郵箱申請(qǐng)的賬號(hào)，在用戶通過安全中心綁定了手機(jī)的情況下，當(dāng)當(dāng)網(wǎng)會(huì)提供郵箱驗(yàn)證和手機(jī)驗(yàn)證兩種方式，用戶選擇其中一種即可。

該客服人員稱，如果用戶以郵箱申請(qǐng)當(dāng)當(dāng)網(wǎng)賬號(hào)后，賬戶密碼還同原來的郵箱密碼保持一致，就會(huì)存有非常高的風(fēng)險(xiǎn)，容易使不法分子通過郵箱驗(yàn)證的方式，變更其所有的信息。

何麗告訴法治周末記者，其最初的當(dāng)當(dāng)賬號(hào)密碼同郵箱密碼并不相同，而是存在明顯的差異。此次事件后，她又以QQ郵箱重新申請(qǐng)了一個(gè)新的當(dāng)當(dāng)賬號(hào)，也綁定了手機(jī)號(hào)，但是客服人員仍然告訴她，即使綁定，也可以選擇通過郵箱更改所有資料。

何女士認(rèn)為，在綁定手機(jī)號(hào)的情況下，還可以單純通過郵箱進(jìn)行變更，這樣的認(rèn)證方式缺乏合理性，也讓變更者缺乏制約。

法治周末記者也就該問題采訪了徐淳。徐淳表示，當(dāng)當(dāng)網(wǎng)對(duì)客戶的賬號(hào)安全有嚴(yán)密的保護(hù)措施，包括郵箱驗(yàn)證、手機(jī)驗(yàn)證等身份驗(yàn)證方式，不過對(duì)于何麗遭遇的情形，其需要同技術(shù)部門溝通查詢更多信息。截至記者發(fā)稿，當(dāng)當(dāng)網(wǎng)方面未就該問題作出回應(yīng)。

對(duì)此，李鐵軍認(rèn)為，即使密碼不同，只要不法分子掌握用戶的郵箱和密碼，就可以像何麗一樣，通過“找回密碼”的方式登錄平臺(tái)賬號(hào)，修改相關(guān)信息，同時(shí)關(guān)聯(lián)到自己的手機(jī)上。因此李鐵軍認(rèn)為，在綁定手機(jī)號(hào)的情形下，僅通過認(rèn)證郵箱就可以變更所有用戶資料的做法是欠妥當(dāng)?shù)摹?/p>

電商平臺(tái)應(yīng)盡更高注意義務(wù)

對(duì)于當(dāng)當(dāng)網(wǎng)的認(rèn)證機(jī)制，喬聰軍也認(rèn)為，相對(duì)于普通用戶，電商平臺(tái)更應(yīng)知曉不同驗(yàn)證方式對(duì)應(yīng)的風(fēng)險(xiǎn)等級(jí)，尤其是此前當(dāng)當(dāng)網(wǎng)出現(xiàn)了多起用戶賬號(hào)被盜事件，出于保護(hù)消費(fèi)者權(quán)益的考慮，在用戶原賬號(hào)信息作出重大變更時(shí)，應(yīng)當(dāng)通過多重方式進(jìn)行驗(yàn)證和告知，手機(jī)短信驗(yàn)證應(yīng)該成為提示的“標(biāo)配”。

“打個(gè)比方，用戶用郵箱申請(qǐng)的賬戶及密碼相當(dāng)于家庭中的防盜門，綁定手機(jī)號(hào)的用戶資金賬戶是屋內(nèi)的木門，一般來說兩個(gè)門都要有鑰匙，而且是不同的鑰匙。如果用戶不慎丟失了防盜門的鑰匙，通過木門的鑰匙也能防止資金賬戶被盜刷，而非單純通過一個(gè)郵箱就打開了所有的門。”喬聰軍說。

中國電子商務(wù)政策法律委員會(huì)副主任劉春泉在接受法治周末記者采訪時(shí)表示，我國消費(fèi)者權(quán)益保護(hù)法規(guī)定了企業(yè)負(fù)有確保消費(fèi)者信息安全的義務(wù)，作為企業(yè)應(yīng)當(dāng)采取技術(shù)和其他必要措施，防止消費(fèi)者個(gè)人信息泄露、丟失，“不過要想讓企業(yè)絕對(duì)地保障安全，這是做不到的”。

不過，劉春泉認(rèn)為，如果是基于現(xiàn)有認(rèn)識(shí)水平可以預(yù)料到這種瑕疵或者漏洞、但不予改進(jìn)，那就是有過錯(cuò)，如果因?yàn)檫@種瑕疵或者漏洞對(duì)用戶造成損失，那么電商平臺(tái)就應(yīng)當(dāng)承擔(dān)一定的責(zé)任。

喬聰軍認(rèn)為，在互聯(lián)網(wǎng)信息安全事件頻發(fā)的背景下，作為互聯(lián)網(wǎng)服務(wù)提供商，應(yīng)當(dāng)認(rèn)真梳理身份認(rèn)證的邏輯，加大信息安全方面的投入，切實(shí)保障消費(fèi)者的權(quán)益。

此外，李鐵軍對(duì)記者介紹，很多用戶在互聯(lián)網(wǎng)上使用同一套用戶名和密碼，“這種做法的危險(xiǎn)性是非常高的，被盜幾乎是一定的，只是時(shí)間早晚的問題”。

李鐵軍介紹，如果用戶在不同網(wǎng)站都使用相同的注冊(cè)郵箱和密碼，一旦有一家網(wǎng)站被黑客拖庫，不法分子就會(huì)批量嘗試去其他網(wǎng)站登錄，即進(jìn)行撞庫，一旦撞庫成功，不法分子就會(huì)獲取用戶更多的個(gè)人信息，或用于竊取賬戶金額，或者用于實(shí)施詐騙。

為此，李鐵軍建議消費(fèi)者，對(duì)于有交易屬性的網(wǎng)購平臺(tái)的用戶名和密碼盡可能保證唯一性，不要與郵箱密碼或者其他網(wǎng)站的登錄信息一致。此外，如果認(rèn)為某電商平臺(tái)的安全保障措施欠缺，李鐵軍建議消費(fèi)者不要綁定銀行卡或第三方支付賬號(hào)，以免遭受更大的損失。