电商新贵1号店正在遭受史上最严重的用户信息泄露压力。
5月份的最后几天,一条“售卖1号店90万会员信息资料”的消息在业内不胫而走。“买卖1号店会员信息的那个人曾和我接触过,对方称所卖的数据真实可靠,都是从1号店网站的后台搞出来的。”熟知此事的速途网副总经理王鹏辉对记者说。
用户信息泄密后,1号店大量会员用户通过不同途径反应,自己在1号店账户余额内的资金统统不翼而飞了。账户资金被盗是否与90万会员数据外泄有关?目前,1号店没有给出任何答案。
1号店董事长于刚曾向本报记者表达过快速扩张的愿景:“2011年1号店的总营收是27.2亿元,今年达到60亿元只是时间问题,这两年肯定会突破100亿元。”对于急于扩张的1号店而言,此次数据泄露事件将会如何发酵,是否会影响其扩张计划,一切都有待观察。
买了东西丢了钱
“这是我第一次尝试在1号店购物,但也有可能是最后一次。”5月30日晚,1号店注册用户蒋季向本报记者诉说了她的遭遇。
蒋季告诉记者,不久前单位给员工每人发了两张1号店的礼品卡作为福利,两张卡中共有700元,5月19日她在1号店下单买了一百多元的东西,账户余额还有500多元。
“5月28日,1号店客服突然给我发了条短信,告诉我账户出现异常状况,怀疑有他人在我的账户里下单,就此通告并修改发给了我新的密码。但当我登录1号店账户时却发现,账户里的余额早已被人盗用一空,而盗用者的下单日期竟是5月25日,也就是说1号店足足推迟了3天才作出反应。”蒋季愤愤地说。
蒋季说,盗用者用她的钱购买东西后寄往了四川省的一个地方。她就此线索向1号店客服进行了投诉。1号店方面称,曾发现过她的账户有异常情况,当时也发出了订单拦截指令,但不知道什么缘故,指令最终并没有生效。
“后来才发现,不光是我一个人,我的同事几乎清一色都被盗取了账户余额。1号店给我们的反馈是,他们已经报警,这个事情要协商处理,让我们另等通知,但却没有给出任何确切的时间,这不像是解决问题的姿态。”蒋季对1号店的处理方式颇感不满。
蒋季和同事的遭遇并非个案,记者在采访中发现,近期集中反映账户资金被盗的投诉比比皆是,在微博上发言投诉1号店的不下数百人,在百度上查找“1号店资金被盗”竟跳出240万个相关结果。
不过,直到5月25日,1号店客服中心才向外界发布了《防诈骗安全提示》的公告,公告中称,如用户发现个人信息被泄露,请立即向1号店举报。
目前,1号店公关部人士向记者介绍,公司除向警方报案外,还展开了内部自查,不过该人士并不愿意就自查的进展做进一步披露。
可以赔,但别嚷
3个月前,记者曾问过于刚一个问题:“1号店最看重的是什么?”于刚当时的回答是:“用户体验。”于刚认为,规模化其实是用户体验的副产品,一旦用户体验做好了,规模增长是水到渠成的事。
然而,数据外泄的不期而至让用户正遭受损失,用户怀疑,1号店的核心价值观是否落到了实处?
目前,1号店已经向部分被盗用户抛出了一份解决方案:即同意赔付失窃余额,但用户必须签署《关于领取1号店垫付款项的确认函》。
本报记者获悉了该份函件,1号店方面在其中写道:“近期,因本人(指用户)在1号店网站上的注册账户被盗,造成账户余额损失……虽然本人账户被盗是由第三方不法侵害所致,但从客户满意度出发,1号店提出可先行垫付上述账户余额损失金额,本人对此表示感谢,并充分认同和接受1号店提出的垫付款项……本人对上述事宜予以严格保密,未经1号店书面同意,不会向任何第三方披露或提供任何相关信息,如违反上述约定项,本人将归还1号店所有垫付款项,并同意支付等同数量的违约金。”
这一函件正遭到用户广泛地质疑。王鹏辉对此函件批评道:“要求用户签协议才能赔款,这完全是霸王条款。其实就是你把钱存在他们那里,他们没有保管好被偷走了,为了不损害他们的名声,还要求用户承认不是1号店的责任才赔钱。但1号店本来就有责任和义务保管好,丢了就该无条件赔钱。”
记者就此协议赔偿的事项向1号店发出采访要求,但截至记者发稿前并未得到任何相关回复。
信息保护流于形式
经历此劫后,1号店的信息安全、账户安全漏洞已完全暴露出来。
1号店用户文林告诉记者,1号店曾要求其将账号与手机绑定,假如账户内有超过50元的资金动向,1号店便会向其发送手机信息和动态密码进行确认,以保障安全。
“此后我通过账户购买了有近200元的商品,但手机从未收到过1号店承诺的动态密码。”文林表示。对此,1号店一位客服人员告诉记者,1号店目前已经取消了这一服务,并将标准修改至500元以上才会对用户进行安全提醒,而修改的理由竟是令人匪夷所思的“为了方便客户”。
1号店如何维护500元以下账户资金的使用安全?该客服人员的建议居然是,可以通过频繁修改密码让外界无法掌握。
记者了解到,目前1号店对于账户资金的安全措施仅停留在单层密码保护的状态,一些电商所用的诸如U盾卫士、动态密码计算和登入密保卡,1号店目前均未使用。
而1号店90万会员数据的外泄原因目前也仍是个谜。对此,1号店在接受采访中始终讳莫如深。
中国电子商务研究中心分析师冯林向本报记者表示,许多电商网站对会员信息资料使用的都是明文而非加密的保存方式,在这种情形下,电商企业内部会有很大的信息外泄隐患。
一位曾负责过电商运营安全的行业人士表示,他曾对市面上泄露的电商数据样本做过分析,结果显示,85%的外泄都是由电商内部人士自己泄露出来的,仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。
“绝大多数电商其实对会员数据信息安全的问题并不敏感,特别是快速发展中的电商,它们的IT部门平日里忙得不可开交,根本没有多余的精力放在提高信息安全性上。电商技术部门的绝大多数开发人员都拥有访问后台会员数据的权限,一些业务部门也可以得到这些访问权限,这就意味着会员信息数据有许多被外泄的可能性。导致这些问题的原因在于网站系统架构设计不合理,在项目初期,技术部没有考虑将数据访问层和业务层进行分离。”上述人士分析称。
“许多电商缺少必要的内部规范,不是说公司里什么人都可以看用户信息,即便是工作需要,也应该设置多层授权,在接触数据库时必须要同时有两人以上在场,便于相互监督,企业还应该安装摄像头,以避免监守自盗事件发生的几率。”冯林说。