首页 > 消费教育 > 消费知识

当当网泄露威胁开始影响手机用户

来源:北京日报 2012/3/26 16:10:02 关注度:151398次

  近一个月来,京东商城、当当网接连卷入“CSDN泄密门”,部分用户账户被盗刷的现象引起了社会各界的关注,甚至连一直持“事不关己”态度的电信运营商也感到了威胁。昨天,中国电信开始向用户群发短信,提醒大家尽快修改初始服务密码,以保证用户在办理套餐修改、通话详单、手机上网等业务时的信息安全。而上周曾冻结全部用户账户和礼品卡74个小时的当当网,目前仍处于用户先修改密码才能向客服申请激活账户的“安全模式”。
  当当:
  用户修改密码方可激活账户
  从3月19日22时至22日24时,当当网冻结了全部用户账户余额和礼品卡。这是19日上午当当网CEO李国庆召集的一次多部门会议上做出的决定。李国庆在会上拍板:“冻结全部有礼品卡和余额的账户,通过短信和邮件的方式通知所有用户上网改密码,所有用户损失当当来补偿,并向公安机关报警。”
  19日当天,当当网向约50万账户上有余额和礼品卡的用户发出了短信、邮件。按照公司的设想,至少要有80%的客户会去修改自己的密码。但实际上这三天的数据显示,只有不到5%的用户更改了自己的密码,这令网站工作人员颇感意外。
  19日下午,李国庆再次召开会议,汇总了各项决定执行的情况,并且立刻着手布置付款流程的改进——付款前要用手机接收验证码。公司内部当时通报的数据是,从2月中旬到3月19日冻结用户账户前,报告上来的账户异常共197例,账户损失的金额绝大多数从几十元到几百元不等。
  22日,即账户解冻的前一天,当当网对外发布了将执行临时性“安全模式”。昨天18时,记者致电当当网客服了解到,“安全模式”出现升级的迹象。用户如果想动用账户余额,在按上周执行的临时规定——向客服人员申请核实身份之前,必须先修改自己的账户密码。
  网购:
  预存资金安全基本靠网站
  从目前获知的几起电商用户账户被盗刷的现象看,去年年末爆发的“CSDN泄密门”难脱干系,但业内专家分析,网站泄密、黑客入侵、用户使用不当都可能造成账号被盗。
  在当当网爆出账户被盗刷之前约一个月,京东商城已经卷入了“CSDN泄密门”,出现了大量账户被套用盗刷的情况。不过此次事件的具体原因仍有待查明。
  “造成账号被盗的可能性非常多,也不排除内部员工疏忽大意,也可能是因为用户本身的密码设置存在一定的规律,黑客通过排列组合破译。”网秦首席安全专家邹仕洪认为,现在网络上的盗号手段非常多,获取账户密码的渠道也不少,所以用户自己必须更加谨慎。
  至于如何保障网购用户预付资金的安全,在一家电商网站负责客户服务的陈经理坦言,安全方面全靠网站自身力量。“网购预付资金没有托管机构,又不能放入银行,不可能绝对安全,网站在管理、技术上的投入、重视程度等都决定这些资金的安全系数。”他说。
  用户:
  好记性与弱密码的博弈
  在反思包括CSDN在内的多家网站用户信息泄露时,CSDN董事长蒋涛认为,国内互联网公司当前普遍存在两个现状:一是重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。一些网站对于外界侵袭没有建起足够坚固的“防火墙”。从互联网数据分析结果来看,服务端近80%的密码库可破解。而在用户端,使用频率最高的前100个密码,覆盖了22.6%的用户,60%用户用的是纯数字口令。“弱密码”的提法便是由此而来。
  一桩桩基于“CSDN泄密门”的后续事件,近期再次激起了各家网站、用户对于“弱密码”的争论。
  360安全中心最新发布的《密码安全指南》,根据国内流行的密码破解字典软件破解列表,整理总结出中国网民最常用的25个“弱密码”,中国网民常用的这些 “弱密码”中,有9个与国外网民使用习惯完全相同。其中,除password、abc123、iloveyou等全球网民通用“弱密码”外,其余均为数字组合。而从中国版“弱密码”榜单来看,国内网民更习惯设置6位字符密码。这25个“弱密码”中竟有18个是6位字符,所占比例高达72%。
  从当当网的用户登录监测可以看出,在只有用户名被泄露的情况下,如果用户采用上述“弱密码”,很容易被黑客利用密码字典自动“猜中”,从而造成个人隐私信息泄漏甚至财产损失。
  在这场“弱密码”的争论中,网民张婷的说法也获得一定的支持。她说,从手机查询到各类银行卡、资产投资,从网站、微博登录到电商网购,大多数成年网民每人至少有一二十个账户名和密码,如果都是单独设立,有几个人能记得住?又如何保证相互间不会混淆?一提到信息安全,众多商家都是异口同声地提醒消费者修改密码,商家就没有责任吗?
  专家观点
  预存资金“实名制”或成有效保障
  京东商城账号被盗发生后,已和账号存在风险的用户进行一对一沟通,建议用户将密码设置得更复杂一些。此外,也为用户提供了账号安全功能服务。当当网则表示,当当网将会启动更加严密的安全措施,包括计划在本周启动手机验证,类似于银行U盾、动态密码等高科技手段也被纳入保障措施。
  中消协律师团团长邱宝昌表示,虽然目前对于网上预付资金的监管没有规定,但是一旦这部分资金出了问题,用户完全可以通过法律途径解决问题。因为网站和用户之间形成了合约关系,所以一旦出现问题,网站要进行赔偿。他还建议,可以实行保证金制度弱化风险,一旦出现意外,网站保证金可用于向消费者先行赔付,这同时有利于激励各电商网站增加在信息安全方面的投入。
  相比电商行业,第三方支付机构在安全方面的调整更快。今年年初,央行发布《支付机构互联网支付业务管理办法(征求意见稿)》,拟要求互联网支付账户的开立实行实名制,并规定“不得利用信用卡透支为支付账户充值”。这意味着,互联网支付将正式步入“实名”时代。
  “从手机验证开始,到未来银行U盾、动态密码等安全手段在电商行业全面上马,网购‘实名制’也将成为行业未来发展的主流趋势之一。”中国社会科学院信息化研究中心秘书长姜奇平说,虽然为了规避风险,但这些新措施势必会提高一定的交易成本,应尽早找到让交易各方都可以接受的方式来分摊,千万不能让消费者全部埋单。

                             责任编辑:刘蒙

专题关注

友情链接:重庆市人民政府网重庆市市场监督管理局中国消费者协会重庆市工商业联合会重庆市地方金融监督管理局
关于我们| 联系邮箱:2394436568@qq.com
工业和信息化部ICP许可证: 渝ICP备18005111号-2 渝公网安备 50019002500135号
凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责,如侵犯到您的权益,请及时通知我们。