打印本文 打印本文 关闭窗口 关闭窗口
账户被盗拷问当当网安全认证
作者:马树娟  文章来源:法治周末  点击数1616  更新时间:2015/6/24 9:05:39  文章录入:admin  责任编辑:admin

 仅用邮箱变更账号信息已滞后

     法治周末记者了解到,近段时间以来,当当网用户中遭遇账号被盗、账户内礼品卡被盗刷的不仅是何丽一人。

    今年3月,一名“王差飞向月球”的微博用户,在微博上也反映:自己在未收到短信提示的情况下账户内资料被更改、礼品卡内1500元也被用光。当时,他还将自己的遭遇@了“当当网”和“当当李国庆”。另据媒体报道,今年5月,在杭州滨江一家证券公司上班的朱小姐,礼品卡内1300余元也被盗刷……

    让何丽颇为困惑的是,自己重新登录当当账户后,发现邮箱和手机号码等重要资料的篡改,全部通过邮箱完成,自己绑定的手机号码并未收到任何提醒。

    “平时在当当网的消费和充值情况,手机都会收到短信,但盗号者盗用账号、修改手机号时,我的手机却没有收到任何提醒警示或者验证。所以我认为,这是当当网流程和系统设置的一个大漏洞。”何丽认为,正是当当网在身份认证机制上的缺陷,才使得自己发生了损失。

    不过,何丽告诉法治周末记者,当当网客服人员否认网站存有缺陷,也拒绝承担任何责任。

    那么由邮箱申请账号后,单纯通过邮箱变更电商账号内所有信息是否属于行业通行的做法呢?

    猎豹移动安全专家李铁军在接受法治周末记者采访时表示,之前,互联网服务提供者主要通过用户名和密码确认登录者的身份,变更一般也通过认证的邮箱来进行。

    不过,李铁军表示,随着互联网上拖库(指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库)、撞库事件(黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录)的接连发生,大约从2013年开始,支付宝等第三方支付机构在验证用户身份时启用了账户密码和手机短信验证的双重验证体系,近一两年来开始扩展至B2C电商平台。

   “对于电商平台等具有交易属性的网站,尤其是绑定有支付卡的网站而言,如果目前还没有开通绑定手机号的验证功能,说明其在网络安全措施上还不到位。”李铁军说。

    李铁军认为,对于账号出现的异常登录、账户个人信息的重大变更,如变更收货地址等,电商平台都应当增加手机验证的方式,以此确保用户的账号使用安全。

    法治周末记者在采访中了解到,一些电商平台如淘宝网,如果用户要修改密码或者进行其他事项的变更,为了保障账户安全,在进行变更前都需要确认对方身份,如果账户绑定了手机,则优先进行手机校验;若未绑定则可以选择登录邮箱进行校验。

 变更账户机制被指不合理

    网上交易保障中心副主任乔聪军认为,当当网的这种认证逻辑存有缺陷。他向法治周末记者介绍,一般情况下,如果用户要变更原来的手机号码等资料信息,是需要给原来的手机号码发送验证码,以确保该变更是在原用户的掌控下所进行的操作,“否则绑定手机号就变得没有意义,只是一种摆设”。

    6月18日,法治周末记者以用户身份致电当当网客服,一位男性客服人员告诉记者,如果客户是以手机号码申请的当当网账号,那么要对账户信息进行变更必须通过手机进行验证;如果是以邮箱申请的账号,在用户通过安全中心绑定了手机的情况下,当当网会提供邮箱验证和手机验证两种方式,用户选择其中一种即可。

    该客服人员称,如果用户以邮箱申请当当网账号后,账户密码还同原来的邮箱密码保持一致,就会存有非常高的风险,容易使不法分子通过邮箱验证的方式,变更其所有的信息。

    何丽告诉法治周末记者,其最初的当当账号密码同邮箱密码并不相同,而是存在明显的差异。此次事件后,她又以QQ邮箱重新申请了一个新的当当账号,也绑定了手机号,但是客服人员仍然告诉她,即使绑定,也可以选择通过邮箱更改所有资料。

   何女士认为,在绑定手机号的情况下,还可以单纯通过邮箱进行变更,这样的认证方式缺乏合理性,也让变更者缺乏制约。

    法治周末记者也就该问题采访了徐淳。徐淳表示,当当网对客户的账号安全有严密的保护措施,包括邮箱验证、手机验证等身份验证方式,不过对于何丽遭遇的情形,其需要同技术部门沟通查询更多信息。截至记者发稿,当当网方面未就该问题作出回应。

    对此,李铁军认为,即使密码不同,只要不法分子掌握用户的邮箱和密码,就可以像何丽一样,通过“找回密码”的方式登录平台账号,修改相关信息,同时关联到自己的手机上。因此李铁军认为,在绑定手机号的情形下,仅通过认证邮箱就可以变更所有用户资料的做法是欠妥当的。

上一页  [1] [2] [3]  下一页

打印本文 打印本文 关闭窗口 关闭窗口