1号店90万用户资料疑遭泄露 多个账户被盗刷

 　　电商未予正面回应

　　□晚报记者秦川报道

　　一度令用户人心惶惶的电商泄密噩梦，近日又有死灰复燃的迹象。

　　上周末，记者从多名1号店用户处获悉，其账户发生了种种离奇盗刷现象，有人遭冒充工作人

　　员的骗子致电告知中奖“喜讯”，也有人账内余额直接被异地陌生人拿去买金链。与此同时，一份疑似将90万1号店用户信息一网打尽、包括地址手机都详细记录的名单，也正在网上以几百元的价格公然出售。

　　据知情人士透露，此次泄密可能依然与去年的CSDN事件有关，属于黑客“拖库”。但接受记者采访时，1号店三缄其口，对泄密原因、名单真假、用户质疑均未予正面回应。

　　多名1号店用户遭遇盗刷

　　“朋友说他的1号店账号被盗，我检查了一下，发现自己的账号也被盗了，密码未改，但账户余额被买了电子礼品卡充值到其他账户里。”一名深圳用户无奈抱怨称。

　　近日，包括北京、上海、广东、山东等地在内的多名1号店用户纷纷遭遇类似盗刷现象。上海徐汇区的一名用户表示，由于1号店退款不能直接打回银行卡中，导致其账户中400多元的余额被盗光。另一名同在徐汇区的用户表示，其账号“被下单”购买了黄金手链，素不相识的收货人在河南，令他一头雾水。

　　1号店青岛用户艾琦透露，她发现账户余额被转移后，立刻致电向客服求助，后者表示该情况已向公安局报案。由于两个月前，当当网同样因为账号泄露问题而宣布报警，有业者猜测目前1号店的泄密情况及受影响用户覆盖面也不太乐观。

　　上述用户被盗刷的主要原因，都是账户内的退款余额被不法分子盯上。“就算退款不能原路打回网银，那也应该做安全验证吧？”正调查此事的IT业者挨踢客表示，不少被盗的用户都设置了手机绑定，但遭不法分子提现到支付宝时却未收到任何短信提示，令人十分费解。

　　究竟用户资料为什么会泄密、目前影响范围有多广？用户反馈的验证缺失问题是否的确存在？这些疑点因1号店的缄默而显得扑朔迷离。

　　记者昨天多次致电1号店公关部，对方在回复邮件中仅以“我们已经注意到报道”作答，随后反复强调了公司对信息安全的高度重视。对于上述核心问题，1号店拒绝给予任何正面回应。

　　90万用户资料疑黑市叫卖

　　值得注意的是，目前网上已有一份疑似汇集了90万名1号店的用户资料名单在“黑市”贩卖，叫价从几百元到几千元不等。有媒体暗访得知，该名单中有截至2011年7月90万全字段的用户信息，包括手机、订单金额、地址、邮箱等等，经验证后的确可登陆1号店。

　　对于上述名单的真伪，1号店方面同样拒绝回应。不过或许可以确定的是，这份名单曝光后的牺牲品已经出现。

　　不久前，微博用户邹女士公开曝光称，她的朋友莫名其妙接到来自“1号店”的电话，对方说要邮寄1号店会员卡、化妆品以及300元充值卡。离奇的是，对方在电话中念出的地址，居然就是她今年3月11日在1号店下单时填的地址。由于不明真相，她朋友的同事帮其代付了298元的“货到付款”费用，结果发现收到的是一堆假货。

　　邹女士表示，她当时由于帮人代购记不清具体地址，随手在订单页面填了个“周一填写”。时隔两月，骗子在忽悠她时，居然也表示1号店”所记录的地址是“周一填写”，希望邹女士的朋友把详细地址告诉“客服”，以便寄送礼品。

　　当当网礼品卡“变身”尿不湿

　　除了1号店，更多电商网站也难逃“泄密”的阴影。

　　今年3月，当当网多名用户遭遇“盗刷”，账户余额被洗劫一空，多用于购买笔记本电脑、鼠标等产品并发给陌生收货人。

　　当当网随即紧急冻结所有当当网账户余额及礼品卡，进行为期三天的排查，同时给予用户一定的补偿，并向公安机关报案。记者当时从其内部了解到，嫌疑人已初步锁定在福建、广东等地。

　　不过，时隔两个月，嚣张的盗刷者似乎仍在打游击战。3天前，一名沈阳地区的当当网用户发现自己购买的4500元礼品卡，一夜之间被身份不明者全部拿去买了尿不湿，令人哭笑不得。而此前赠送给客户的其他礼品卡，不少也难逃厄运。

　　当当网公关部昨天向记者表示，他们经过调查已基本确认这是又一起盗刷事件，但具体原因还在调查。对于今年3月的大规模泄密事件，当当网称目前警方仍在走司法取证流程，暂无可对外公布的进展。

　　电商是否该为“泄密门”埋单

　　近半年，相继卷入“泄密门”的电商不胜枚举，主流的几家巨头几乎均曾中枪。而在受访时，他们几乎一致撇清了责任，把矛头指向被称为“始作俑者”的CSDN。

　　去年年底，有黑客在网上公开了开发者技术社区CSDN网站的用户数据库，包括600余万个注册邮箱账号和与之对应的明文密码。随后人人网、猫扑、天涯等多家互联网站相继遭黑客恶意公开数据库，有超过5000万个用户账号和密码在网上公开扩散。

　　电商业内人士表示，黑客专门编了一套软件，在很短时间内挨个尝试密码登录各大电商网站，这种“拖库”和“试库”的机械方式，往往能斩获非常多“一个账号走天下”的粗心用户，这也是导致“泄密”的主因。

　　不过，上述说辞也被部分用户视为电商的“遮羞布”。“我今年2月才注册的账号，用户名是全新的，从没用过。可今年3月我登录时，系统提醒可能存在‘异常登录’，非要我改密码，不改就不能用。”用户马小姐告诉记者，她无法理解其中的逻辑。“如果不是电商自己的用户数据库被黑客攻破，它没有任何理由如此紧张。”

　　究竟谁该为此埋单？知名律师赵占领表示，如果是用户CSDN账户密码与电商账户密码相同导致损失，则后者没有任何法律责任。但如果是电商资深数据库信息泄露所致，则要看其是否尽到基本的安全保障义务，举证责任在于电商。