1号店回应用户信息泄露:可以赔钱 但别嚷

oschina
 oschina
发布于 2012年06月02日
收藏 3

1号店:可以赔钱,但须保密

90万用户信息泄露

华夏时报记者 张汉澍 上海报道

电商新贵1号店正在遭受史上最严重的用户信息泄露压力。

5月份的最后几天,一条“售卖1号店90万会员信息资料”的消息在业内不胫而走。“买卖1号店会员信息的那个人曾和我接触过,对方称所卖的数据真实可靠,都是从1号店网站的后台搞出来的。”熟知此事的速途网副总经理王鹏辉对《华夏时报》记者说。

用户信息泄密后,1号店大量会员用户通过不同途径反应,自己在1号店账户余额内的资金统统不翼而飞了。账户资金被盗是否与90万会员数据外泄有关?目前,1号店没有给出任何答案。

1号店董事长于刚曾向本报记者表达过快速扩张的愿景:“2011年1号店的总营收是27.2亿元,今年达到60亿元只是时间问题,这两年肯定会突破100亿元。”对于急于扩张的1号店而言,此次数据泄露事件将会如何发酵,是否会影响其扩张计划,一切都有待观察。

买了东西丢了钱

“这是我第一次尝试在1号店购物,但也有可能是最后一次。”5月30日晚,1号店注册用户蒋季向本报记者诉说了她的遭遇。

蒋季告诉记者,不久前单位给员工每人发了两张1号店的礼品卡作为福利,两张卡中共有700元,5月19日她在1号店下单买了一百多元的东西,账户余额还有500多元。

“5月28日,1号店客服突然给我发了条短信,告诉我账户出现异常状况,怀疑有他人在我的账户里下单,就此通告并修改发给了我新的密码。但当我登录1号店账户时却发现,账户里的余额早已被人盗用一空,而盗用者的下单日期竟是5月25日,也就是说1号店足足推迟了3天才作出反应。”蒋季愤愤地说。

蒋季说,盗用者用她的钱购买东西后寄往了四川省的一个地方。她就此线索向1号店客服进行了投诉。1号店方面称,曾发现过她的账户有异常情况,当时也发出了订单拦截指令,但不知道什么缘故,指令最终并没有生效。

“后来才发现,不光是我一个人,我的同事几乎清一色都被盗取了账户余额。1号店给我们的反馈是,他们已经报警,这个事情要协商处理,让我们另等通知,但却没有给出任何确切的时间,这不像是解决问题的姿态。”蒋季对1号店的处理方式颇感不满。

蒋季和同事的遭遇并非个案,记者在采访中发现,近期集中反映账户资金被盗的投诉比比皆是,在微博上发言投诉1号店的不下数百人,在百度(微博)上查找“1号店资金被盗”竟跳出240万个相关结果。

不过,直到5月25日,1号店客服中心才向外界发布了《防诈骗安全提示》的公告,公告中称,如用户发现个人信息被泄露,请立即向1号店举报。

目前,1号店公关部人士向记者介绍,公司除向警方报案外,还展开了内部自查,不过该人士并不愿意就自查的进展做进一步披露。

可以赔,但别嚷

3个月前,记者曾问过于刚一个问题:“1号店最看重的是什么?”于刚当时的回答是:“用户体验。”于刚认为,规模化其实是用户体验的副产品,一旦用户体验做好了,规模增长是水到渠成的事。

然而,数据外泄的不期而至让用户正遭受损失,用户怀疑,1号店的核心价值观是否落到了实处?

目前,1号店已经向部分被盗用户抛出了一份解决方案:即同意赔付失窃余额,但用户必须签署《关于领取1号店垫付款项的确认函》。

本报记者获悉了该份函件,1号店方面在其中写道:“近期,因本人(指用户)在1号店网站上的注册账户被盗,造成账户余额损失……虽然本人账户被盗是由第三方不法侵害所致,但从客户满意度出发,1号店提出可先行垫付上述账户余额损失金额,本人对此表示感谢,并充分认同和接受1号店提出的垫付款项……本人对上述事宜予以严格保密,未经1号店书面同意,不会向任何第三方披露或提供任何相关信息,如违反上述约定项,本人将归还1号店所有垫付款项,并同意支付等同数量的违约金。”

这一函件正遭到用户广泛地质疑。王鹏辉对此函件批评道:“要求用户签协议才能赔款,这完全是霸王条款。其实就是你把钱存在他们那里,他们没有保管好被偷走了,为了不损害他们的名声,还要求用户承认不是1号店的责任才赔钱。但1号店本来就有责任和义务保管好,丢了就该无条件赔钱。”

记者就此协议赔偿的事项向1号店发出采访要求,但截至记者发稿前并未得到任何相关回复。

信息保护流于形式

经历此劫后,1号店的信息安全、账户安全漏洞已完全暴露出来。

1号店用户文林告诉记者,1号店曾要求其将账号与手机绑定,假如账户内有超过50元的资金动向,1号店便会向其发送手机信息和动态密码进行确认,以保障安全。

“此后我通过账户购买了有近200元的商品,但手机从未收到过1号店承诺的动态密码。”文林表示。对此,1号店一位客服人员告诉记者,1号店目前已经取消了这一服务,并将标准修改至500元以上才会对用户进行安全提醒,而修改的理由竟是令人匪夷所思的“为了方便客户”。

1号店如何维护500元以下账户资金的使用安全?该客服人员的建议居然是,可以通过频繁修改密码让外界无法掌握。

记者了解到,目前1号店对于账户资金的安全措施仅停留在单层密码保护的状态,一些电商所用的诸如U盾卫士、动态密码计算和登入密保卡,1号店目前均未使用。

而1号店90万会员数据的外泄原因目前也仍是个谜。对此,1号店在接受采访中始终讳莫如深。

中国电子商务研究中心分析师冯林向本报记者表示,许多电商网站对会员信息资料使用的都是明文而非加密的保存方式,在这种情形下,电商企业内部会有很大的信息外泄隐患。

一位曾负责过电商运营安全的行业人士表示,他曾对市面上泄露的电商数据样本做过分析,结果显示,85%的外泄都是由电商内部人士自己泄露出来的,仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。

“绝大多数电商其实对会员数据信息安全的问题并不敏感,特别是快速发展中的电商,它们的IT部门平日里忙得不可开交,根本没有多余的精力放在提高信息安全性上。电商技术部门的绝大多数开发人员都拥有访问后台会员数据的权限,一些业务部门也可以得到这些访问权限,这就意味着会员信息数据有许多被外泄的可能性。导致这些问题的原因在于网站系统架构设计不合理,在项目初期,技术部没有考虑将数据访问层和业务层进行分离。”上述人士分析称。

“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:1号店回应用户信息泄露:可以赔钱 但别嚷
加载中

最新评论(31

蟋蟀哥哥
蟋蟀哥哥

引用来自“黑曜石”的评论

引用来自“蟋蟀哥哥”的评论

地下黑市中,除了游戏网站的数据,就是电商网站的数据最值钱了。

严重不同意 我现在手里还有魔兽世界 柯南时代的大量美F玩家账号 国外的人操守很好 都不舍动态密码 老外把盗号看做一件很耻辱的事 恰恰是chinese farmer盗老美的号来卖 价钱也不高 10个号才100美元 那还是1年前的价格了..一件小事足见钱从来都不是问题 人家可以从文化上侧地鄙视我们

我是说国内环境,游戏账号是最值钱的。特别是你手里的wow 柯南等。不过要一手才值钱。
开源中国射线科科长
开源中国射线科科长

引用来自“蟋蟀哥哥”的评论

地下黑市中,除了游戏网站的数据,就是电商网站的数据最值钱了。

严重不同意 我现在手里还有魔兽世界 柯南时代的大量美F玩家账号 国外的人操守很好 都不舍动态密码 老外把盗号看做一件很耻辱的事 恰恰是chinese farmer盗老美的号来卖 价钱也不高 10个号才100美元 那还是1年前的价格了..一件小事足见钱从来都不是问题 人家可以从文化上侧地鄙视我们
j
jackprince
看到大家都对“**店”不了解,让我感觉到底此次事件是事故,亦或变相广告?
Lufecarg
Lufecarg

引用来自“Lunar_Lin”的评论

加班太多,工资太少, 才谈的女友结果又跑了. 屌丝程序员实在忍不住了,"干泥靓!" 然后在技术老大的带领下 大家三下两下, vi一个脚本,回车,把线上数据库数据一导, 然后卖出去了.
嘿嘿嘿 我假想的场景.

你这是污蔑程序员的节操啊。。。。
Liuxd
Liuxd
一号店,嗯,一号店,能吃吗?
xesam
xesam
莫非是小李飞刀干的?
黑菜妞妞
黑菜妞妞
哇塞,一号店可是我的最爱,竟然这样。
Binx
Binx
“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。

做这行了,还没听说过能用摄像头,两人以上同时在场监控
蟋蟀哥哥
蟋蟀哥哥
地下黑市中,除了游戏网站的数据,就是电商网站的数据最值钱了。
JC_404
JC_404
先把问题解决了 ,其他的再说
返回顶部
顶部