close
1號店:可以賠錢,但須保密
本報記者 張漢澍 上海報道
電商新貴1號店正在遭受史上最嚴重的用戶信息泄露壓力。
5月份的最後幾天,一條“售賣1號店90萬會員信息資料”的消息在業內不脛而走。“買賣1號店會員信息的那個人曾和我接觸過,對方稱所賣的數據真實可靠,都是從1號店網站的後臺搞出來的。”熟知此事的速途網副總經理王鵬輝對《華夏時報》記者說。
用戶信息泄密後,1號店大量會員用戶通過不同途徑反應,自己在1號店賬戶餘額內的資金統統不翼而飛瞭。賬戶資金被盜是否與90萬會員數據外泄有關?目前,1號店沒有給出任何答案。
1號店董事長於剛曾向本報記者表達過快速擴張的願景:“2011年1號店的總營收是27.2億元,今年達到60億元隻是時間問題,這兩年肯定會突破100億元。”對於急於擴張的1號店而言,此次數據泄露事件將會如何發酵,是否會影響其擴張計劃,一切都有待觀察。
買瞭東西丟瞭錢
“這是我第一次嘗試在1號店購物,但也有可能是最後一次。”5月30日晚,1號店註冊用戶蔣季向本報記者訴說瞭她的遭遇。
蔣季告訴記者,不久前單位給員工每人發瞭兩張1號店的禮品卡作為福利,兩張卡中共有700元,5月19日她在1號店下單買瞭一百多元的東西,賬戶餘額還有500多元。
“5月28日,1號店客服突然給我發瞭條短信,告訴我賬戶出現異常狀況,懷疑有他人在我的賬戶裡下單,就此通告並修改發給瞭我新的密碼。但當我登錄1號店賬戶時卻發現,賬戶裡的餘額早已被人盜用一空,而盜用者的下單日期竟是5月25日,也就是說1號店足足推遲瞭3天才作出反應。”蔣季憤憤地說。
蔣季說,盜用者用她的錢購買東西後寄往瞭四川省的一個地方。她就此線索向1號店客服進行瞭投訴。1號店方面稱,曾發現過她的賬戶有異常情況,當時也發出瞭訂單攔截指令,但不知道什麼緣故,指令最終並沒有生效。
“後來才發現,不光是我一個人,我的同事幾乎清一色都被盜取瞭賬戶餘額。1號店給我們的反饋是,他們已經報警,這個事情要協商處理,讓我們另等通知,但卻沒有給出任何確切的時間,這不像是解決問題的姿態。”蔣季對1號店的處理方式頗感不滿。
蔣季和同事的遭遇並非個案,記者在采訪中發現,近期集中反映賬戶資金被盜的投訴比比皆是,在微博上發言投訴1號店的不下數百人,在百度上查找“1號店資金被盜”竟跳出240萬個相關結果。
不過,直到5月25日,1號店客服中心才向外界發佈瞭《防詐騙安全提示》的公告,公告中稱,如用戶發現個人信息被泄露,請立即向1號店舉報。
靜電排油煙機 目前,1號店公關部人士向記者介紹,公司除向警方報案外,還展開瞭內部靜電油煙處理機自查,不過該人士並不願意就自查的進展做進一步披露。
可以賠,但別嚷
3個月前,記者曾問過於剛一個問題:“1號店最看重的是什麼?”於剛當時的回答是:“用戶體驗。”於剛認為,規模化其實是用戶體驗的副產品,一旦用戶體驗做好瞭,規模增長是水到渠成的事。
然而,數據外泄的不期而至讓用戶正遭受損失,用戶懷疑,1號店的核心價值觀是否落到瞭實處?
目前,1號店已經向部分被盜用戶拋出瞭一份解決方案:即同意賠付失竊餘額,但用戶必須簽署《關於領取1號店墊付款項的確認函》。
本報記者獲悉瞭該份函件,1號店方面在其中寫道:“近期,因本人(指用戶)在1號店網站上的註冊賬戶被盜,造成賬戶餘額損失……雖然本人賬戶被盜是由第三方不法侵害所致,但從客戶滿意度出發,1號店提出可先行墊付上述賬戶餘額損失金額,本人對此表示感謝,並充分認同和接受1號店提出的墊付款項……本人對上述事宜予以嚴格保密,未經1號店書面同意,不會向任何第三方披露或提供任何相關信息,如違反上述約定項,本人將歸還1號店所有墊付款項,並同意支付等同數量的違約金。”
這一函件正遭到用戶廣泛地質疑。王鵬輝對此函件批評道:“要求用戶簽協議才能賠款,這完全是霸王條款。其實就是你把錢存在他們那裡,他們沒有保管好被偷走瞭,為瞭不損害他們的名聲,還要求用戶承認不是1號店的責任才賠錢。但1號店本來就有責任和義務保管好,丟瞭就該無條件賠錢。”
記者就此協議賠償的事項向1號店發出采訪要求,但截至記者發稿前並未得到任何相關回復。
信息保護流於形式
經歷此劫後,1號店的信息安全、賬戶安全漏洞已完全暴露出來。
1號店用戶文林告訴記者,1號店曾要求其將賬號與手機綁定,假如賬戶內有超過50元的資金動向,1號店便會向其發送手機信息和動態密碼進行確認,以保障安全。
“此後我通過賬戶購買瞭有近200元的商品,但手機從未收到過1號店承諾的動態密碼。”文林表示。對此,1號店一位客服人員告訴記者,1號店目前已經取消瞭這一服務,並將標準修改至500元以上才會對用戶進行安全提醒,而修改的理由竟是令人匪夷所思的“為瞭方便客戶”。
1號店如何維護500元以下賬戶資金的使用安全?該客服人員的建議居然是,可以通過頻繁修改密碼讓外界無法掌握。
記者瞭解到,目前1號店對於賬戶資金的安全措施僅停留在單層密碼保護的狀態,一些電商所用的諸如U盾衛士、動態密碼計算和登入密保卡,1號店目前均未使用。
而1號店90萬會員數據的外泄原因目前也仍是個謎。對此,1號店在接受采訪中始終諱莫如深。
中國電子商務研究中心分析師馮林向本報記者表示,許多電商網站對會員信息資料使用的都是明文而非加密的保存方式,在這種情形下,電商企業內部會有很大的信息外泄隱患。
一位曾負責過電商運營安全的行業人士表示,他曾對市面上泄露的電商數據樣本做過分析,結果顯示,85%的外泄都是由電商內部人士自己泄露出來的,僅15%是外部黑客通過電商網站的一些技術設計缺陷抓取獲得的。
“絕大多數電商其實對會員數據信息安全的問題並不敏感,特別是快速發展中的電商,它們的IT部門平日裡忙得不可開交,根本沒有多餘的精力放在提高信息安全性上。電商技術部門的絕大多數開發人員都擁有訪問後臺會員數據的權限,一些業務部門也可以得到這些訪問權限,這就意味著會員信息數據有許多被外泄的可能性。導致這些問題的原因在於網站系統架構設計不合理,在項目初期,技術部沒有考慮將數據訪問層和業務層進行分離。”上述人士分析稱。
“許多電商缺少必要的內部規范,不是說公司裡什麼人都可以看用戶信息,即便是工作需要,也應該設置多層授權,在接觸數據庫時必須要同時有兩人以上在場,便於相互監督,企業還應該安裝攝像頭,以避免監守自盜事件發生的幾率。”馮林營業用抽油煙機說。
7D935A9D4FC68F02
本報記者 張漢澍 上海報道
電商新貴1號店正在遭受史上最嚴重的用戶信息泄露壓力。
5月份的最後幾天,一條“售賣1號店90萬會員信息資料”的消息在業內不脛而走。“買賣1號店會員信息的那個人曾和我接觸過,對方稱所賣的數據真實可靠,都是從1號店網站的後臺搞出來的。”熟知此事的速途網副總經理王鵬輝對《華夏時報》記者說。
用戶信息泄密後,1號店大量會員用戶通過不同途徑反應,自己在1號店賬戶餘額內的資金統統不翼而飛瞭。賬戶資金被盜是否與90萬會員數據外泄有關?目前,1號店沒有給出任何答案。
1號店董事長於剛曾向本報記者表達過快速擴張的願景:“2011年1號店的總營收是27.2億元,今年達到60億元隻是時間問題,這兩年肯定會突破100億元。”對於急於擴張的1號店而言,此次數據泄露事件將會如何發酵,是否會影響其擴張計劃,一切都有待觀察。
買瞭東西丟瞭錢
“這是我第一次嘗試在1號店購物,但也有可能是最後一次。”5月30日晚,1號店註冊用戶蔣季向本報記者訴說瞭她的遭遇。
蔣季告訴記者,不久前單位給員工每人發瞭兩張1號店的禮品卡作為福利,兩張卡中共有700元,5月19日她在1號店下單買瞭一百多元的東西,賬戶餘額還有500多元。
“5月28日,1號店客服突然給我發瞭條短信,告訴我賬戶出現異常狀況,懷疑有他人在我的賬戶裡下單,就此通告並修改發給瞭我新的密碼。但當我登錄1號店賬戶時卻發現,賬戶裡的餘額早已被人盜用一空,而盜用者的下單日期竟是5月25日,也就是說1號店足足推遲瞭3天才作出反應。”蔣季憤憤地說。
蔣季說,盜用者用她的錢購買東西後寄往瞭四川省的一個地方。她就此線索向1號店客服進行瞭投訴。1號店方面稱,曾發現過她的賬戶有異常情況,當時也發出瞭訂單攔截指令,但不知道什麼緣故,指令最終並沒有生效。
“後來才發現,不光是我一個人,我的同事幾乎清一色都被盜取瞭賬戶餘額。1號店給我們的反饋是,他們已經報警,這個事情要協商處理,讓我們另等通知,但卻沒有給出任何確切的時間,這不像是解決問題的姿態。”蔣季對1號店的處理方式頗感不滿。
蔣季和同事的遭遇並非個案,記者在采訪中發現,近期集中反映賬戶資金被盜的投訴比比皆是,在微博上發言投訴1號店的不下數百人,在百度上查找“1號店資金被盜”竟跳出240萬個相關結果。
不過,直到5月25日,1號店客服中心才向外界發佈瞭《防詐騙安全提示》的公告,公告中稱,如用戶發現個人信息被泄露,請立即向1號店舉報。
靜電排油煙機 目前,1號店公關部人士向記者介紹,公司除向警方報案外,還展開瞭內部靜電油煙處理機自查,不過該人士並不願意就自查的進展做進一步披露。
可以賠,但別嚷
3個月前,記者曾問過於剛一個問題:“1號店最看重的是什麼?”於剛當時的回答是:“用戶體驗。”於剛認為,規模化其實是用戶體驗的副產品,一旦用戶體驗做好瞭,規模增長是水到渠成的事。
然而,數據外泄的不期而至讓用戶正遭受損失,用戶懷疑,1號店的核心價值觀是否落到瞭實處?
目前,1號店已經向部分被盜用戶拋出瞭一份解決方案:即同意賠付失竊餘額,但用戶必須簽署《關於領取1號店墊付款項的確認函》。
本報記者獲悉瞭該份函件,1號店方面在其中寫道:“近期,因本人(指用戶)在1號店網站上的註冊賬戶被盜,造成賬戶餘額損失……雖然本人賬戶被盜是由第三方不法侵害所致,但從客戶滿意度出發,1號店提出可先行墊付上述賬戶餘額損失金額,本人對此表示感謝,並充分認同和接受1號店提出的墊付款項……本人對上述事宜予以嚴格保密,未經1號店書面同意,不會向任何第三方披露或提供任何相關信息,如違反上述約定項,本人將歸還1號店所有墊付款項,並同意支付等同數量的違約金。”
這一函件正遭到用戶廣泛地質疑。王鵬輝對此函件批評道:“要求用戶簽協議才能賠款,這完全是霸王條款。其實就是你把錢存在他們那裡,他們沒有保管好被偷走瞭,為瞭不損害他們的名聲,還要求用戶承認不是1號店的責任才賠錢。但1號店本來就有責任和義務保管好,丟瞭就該無條件賠錢。”
記者就此協議賠償的事項向1號店發出采訪要求,但截至記者發稿前並未得到任何相關回復。
信息保護流於形式
經歷此劫後,1號店的信息安全、賬戶安全漏洞已完全暴露出來。
1號店用戶文林告訴記者,1號店曾要求其將賬號與手機綁定,假如賬戶內有超過50元的資金動向,1號店便會向其發送手機信息和動態密碼進行確認,以保障安全。
“此後我通過賬戶購買瞭有近200元的商品,但手機從未收到過1號店承諾的動態密碼。”文林表示。對此,1號店一位客服人員告訴記者,1號店目前已經取消瞭這一服務,並將標準修改至500元以上才會對用戶進行安全提醒,而修改的理由竟是令人匪夷所思的“為瞭方便客戶”。
1號店如何維護500元以下賬戶資金的使用安全?該客服人員的建議居然是,可以通過頻繁修改密碼讓外界無法掌握。
記者瞭解到,目前1號店對於賬戶資金的安全措施僅停留在單層密碼保護的狀態,一些電商所用的諸如U盾衛士、動態密碼計算和登入密保卡,1號店目前均未使用。
而1號店90萬會員數據的外泄原因目前也仍是個謎。對此,1號店在接受采訪中始終諱莫如深。
中國電子商務研究中心分析師馮林向本報記者表示,許多電商網站對會員信息資料使用的都是明文而非加密的保存方式,在這種情形下,電商企業內部會有很大的信息外泄隱患。
一位曾負責過電商運營安全的行業人士表示,他曾對市面上泄露的電商數據樣本做過分析,結果顯示,85%的外泄都是由電商內部人士自己泄露出來的,僅15%是外部黑客通過電商網站的一些技術設計缺陷抓取獲得的。
“絕大多數電商其實對會員數據信息安全的問題並不敏感,特別是快速發展中的電商,它們的IT部門平日裡忙得不可開交,根本沒有多餘的精力放在提高信息安全性上。電商技術部門的絕大多數開發人員都擁有訪問後臺會員數據的權限,一些業務部門也可以得到這些訪問權限,這就意味著會員信息數據有許多被外泄的可能性。導致這些問題的原因在於網站系統架構設計不合理,在項目初期,技術部沒有考慮將數據訪問層和業務層進行分離。”上述人士分析稱。
“許多電商缺少必要的內部規范,不是說公司裡什麼人都可以看用戶信息,即便是工作需要,也應該設置多層授權,在接觸數據庫時必須要同時有兩人以上在場,便於相互監督,企業還應該安裝攝像頭,以避免監守自盜事件發生的幾率。”馮林營業用抽油煙機說。
7D935A9D4FC68F02
文章標籤
全站熱搜
留言列表