189 8069 5689

信息频遭泄露谁动了你的账户

商报图形 王若静 制

最近,不少微博用户诉苦称,网上超市1号店账户余额被盗刷,更有上海媒体曝出90万份1号店账号在网上贩卖,电子信息安全问题再次引发质疑。好在,《个人信息保护指南》即将出台,目前网友所关注的信息泄露问题,或许有解。

创新互联建站为您提适合企业的网站设计 让您的网站在搜索引擎具有高度排名,让您的网站具备超强的网络竞争力!结合企业自身,进行网站设计及把握,最后结合企业文化和具体宗旨等,才能创作出一份性化解决方案。从网站策划到成都网站制作、做网站、外贸营销网站建设, 我们的网页设计师为您提供的解决方案。

90万份账号被贩卖

6月上旬,微博用户Susu_sj爆料称,6月11日自己在1号店的退款余额被陌生人提现,损失100元左右,绑定手机号码被修改。Susu_sj 还贴出了1号店发出的提现和账户存在异常的邮件截屏图。

随后,记者在微博上查到了更多与Susu_sj有着同样或相似遭遇的1号店用户,账户余额被盗刷、接到“工作人员”打来的中奖喜讯、收到货到付款的包裹,1号店用户信息被盗者遭遇各种烦恼。

最近,1号店市场部工作人员邹小姐在接受采访时坦承,1号店已关注到用户信息泄露的情况,并已向公安机关报案,信息泄露的具体情况不方便透露。5月25日,1号店官网曾发表的一份提醒用户注意信息安全的“防诈骗安全提示”公告。

近期,微博网友“挨踢客”曾爆料称,有人向其兜售1号店的账户资料,称有90万份的用户资料只卖500元,该资料中包括了1号店用户账号、密码、手机等信息。记者通过微博联系了“挨踢客”,获取了兜售信息人的联系方式,但其QQ号码已设置为拒绝添加好友。根据之前上海媒体已证实并公开报道,此兜售人提供的90万用户资料,大部分数据属实。

“数据贩子手上的数据说是90万,但我估计应该不止这个数,因为3月份有人在1号店买东西时的账号也泄露了。而且,最近很多用户的账号被盗,余额被人提走。”“挨踢客”在微博上接受记者采访时称。

成立于2008年7月的“1号店”,是国内电子商务行业“网上超市”的企业之一。根据其官方数据显示,2012年3月,1号店注册会员已达2000万。如果90万用户资料被泄露的消息属实,则此次事件涉及到1号店4.5%的会员,意味着每1000名会员中约有45人牵扯其中。

谁动了你的账户

为数众多的用户信息是如何被泄露出去的?1号店称,原因与去年社区网站集体泄密事件有关,业内人士则认为,账户泄密有多种可能性,具体原因需等待警方认定。

“我们内部调查发现,去年一些社区网站账户泄密事件,波及到少量的1号店顾客。” 在回应信息是如何泄露时邹小姐称。

去年12月,国内知名IT社区CSDN、天涯社区等先后发布公告称,因遭到黑客攻击,多家网站的部分数据库外泄,恳请用户修改天涯社区账户密码。

今年三月,京东商城、当当网先后曝出账户被盗的情况,更有部分钓鱼网站公开出卖用户数据。此次1号店用户数据泄露事件,再次挑起了公众对电商数据安全的质疑。

知名IT法律人士赵占领在电话采访中告诉记者,目前公安机关仍在调查此次1号店泄密事件,泄密原因尚不能完全确定。“挨踢客”在采访中也向记者分析道,“泄露的方式无非是有几种渠道,比如:网站本身出卖信息,或者员工偷卖信息,或者被黑客攻击。”

某不愿透露姓名的业内人士,在解释电商用户信息泄露的问题时分析称,快速发展的电商,精力往往不会放在用户数据安全上,敏捷开发、敏捷发布的程序,在流程中隐藏了很多漏洞,发现BUG(电脑系统或程序缺陷),也不会随便下线。加上不相关人员拥有核心数据权限、系统架构问题等,种种原因导致了用户信息数据的不安全。

1号店工作人员邹小姐在邮件采访中则向记者强调,“1号店非常重视信息安全,并有非常严密的防范措施,我们会全力保护顾客账户信息安全。”

纵深

信息泄露 电商平台有过错吗?

陷入舆论漩涡的1号店,在用户信息泄密事件中有过错吗?

最近,重庆大学电子商务与营销教授邵兵家在电话中称,“用户在注册网站时,就相当于与电商网站签订了‘协议’。网站有义务为用户保障信息和财产安全。没有尽到这些义务导致用户注册账户被盗,应该承担违约责任。”

知名IT法律人士赵占领也在最近的电话采访中告诉记者,用户与网站建立服务合同关系后,网站有义务保障用户账号本身安全和账户内资金安全的双重义务,注册账户内的资金需要采取更加严格的安全措施,比如手机绑定验证,资金提取原路返回,否则需要进一步的验证等等。

微博上,多数被盗用户也认为,1号店提现流程有漏洞、系统设置存在风险,才导致了自己的信息被盗,1号店要承担相应责任。

那么具体责任该如何认定?赵占领称,判定网站是否有过错有两种方式,一种是被盗用户起诉,那么网站有义务举证证明自己没有过错,所需证据包括,是否对用户信息做加密处理、防护墙设置、安全等级是否符合法律规定等。另一种是公安机关调查、判定网站的信息安全等级是否达到要求。“去年CSDN泄密事件中,北京公安机关最终认定运营公司安全等级不够,对之做出了行政警告的处罚。”

“此外,在用户信息泄露后,是否及时提醒用户修改密码,保护账户安全,也可以判定网站是否有过失。”赵占领称。记者在微博上采访多位爆料人时了解到,1号店并没有通知自己账户可能存在风险,余额被盗后才知道1号店账户被盗的事情。

相关

《个人信息保护指南》即将出台

“在互联网时代,代表个人信息的数据,意味着日益庞大的商业价值。”赵占领称。随着电子商务的快速发展,如何保障消费者的“电子钱包”安全,使得信息安全立法日益迫切。

“按照《刑法》规定,非法窃取和出售个人信息的行为是犯罪。《侵权责任法》规定的民事权益范围中包括了隐私权。但是在法律上,对个人信息并没有界定范围,没有一个标准。《信息安全等级保护管理办法》中,对于网站采取的信息安全等级也没有明确规定。对不能保障个人信息安全的企业,处罚力度也比较小。”赵占领向记者称。

据介绍,目前在欧洲、美国等地,个人信息立法比较完善,部分国家还会有专门的行政部门,处理个人信息保护工作。

最近,中国软件评测中心信息安全研究部副总经理刘陶在电话中告诉记者,从2010年开始,由工信部直属的中国软件评测中心及30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,已经通过了程序评审,正式报国标委审批,有望近期出台。

“《个人信息保护指南》中,明确规定了个人信息的范围,例如姓名加身份证号、实名制的手机号码、个人通讯地址等。在网站收集用户个人信息时,要获得用户的明确同意,且只能用于网站自身提供的业务范围,不得向第三方转让。”刘陶称,对包括收集、加工、转移和删除四个主要环节的个人信息处理,都给出了规范,还提出了个人信息保护的原则。

“但是《个人信息保护指南》属于推荐实施或指导性文件,在法律上并没有强制实施的法律效力。即使通过了有关部门的审批,也不能对电商企业产生实质性的约束作用。”赵占领称。 本组稿件由见习记者田晓燕采写


文章题目:信息频遭泄露谁动了你的账户
文章链接:http://cdxtjz.cn/article/eecjsh.html

其他资讯