中国法制宣传网
 | 网站首页 | 本网动态 | 下载中心 | 图片中心 | 留言本 | 法治资讯 | 舆论监督 | 经济与法制 | 法讯论坛 | 社会娱乐 | 法治视点 | 法律大讲堂 | 法治杂谈 | 反腐前沿 | 法制教育 | 律师在线 | 法治周末 | 中国民声 | 法律法规 | 地方频道 | 浙江频道 | 重庆频道 | 河北频道 | 广西频道 | 信息广角 | 艺术长廊 | 李堂平专栏 | 
栏目更新推荐  
·“创新”业务性质存疑,中信建投因…
·小米再陷“质量门”:被指没掌握核…
·长安汽车因排放超标被罚,过半网友…
·基金投资者投诉南京银行
·今麦郎方便面“天价索赔”案引争议
·超豪华汽车在华结束高增长
·卡罗拉、雷凌数千辆车被指“隐性召…
·乐视资金链隐忧
点击TOP(10)  
·“创新”业务性质存疑,中信建投因…
·小米再陷“质量门”:被指没掌握核…
·长安汽车因排放超标被罚,过半网友…
·基金投资者投诉南京银行
·今麦郎方便面“天价索赔”案引争议
·超豪华汽车在华结束高增长
·卡罗拉、雷凌数千辆车被指“隐性召…
·乐视资金链隐忧
·“1元云购”疑踩中非法博彩红线
·辽宁清原:政府违约被判败诉,却又…
图片文章  

小米再陷“质量门”…

基金投资者投诉南京…

今麦郎方便面“天价…

“1元云购”疑踩中非…
 
您现在的位置: 法宣网-中国法治宣传网【原法讯网】 >> 法治周末 >> 正文
账户被盗拷问当当网安全认证
文章来源:法治周末 中国法宣网作者:马树娟 点击数:11615 更新时间:2015/6/24 文章录入:admin    责任编辑:admin  


中国法宣网版权及免责声明:

1、凡本网未注明来源的作品,版权均属“中国法宣网”原创或首发,未经本网授权,任何单位及个人不得转载、摘编或以其它方式使用。确需使用本网作品的,请来函联系:chinafxw@qq.com。转载时必须注明“来源:法宣网”及作者:“XXX”。违反上述声明者,本网将追究其相关法律责任。
2、凡本网注明据载或讯“XXX(非中国法宣网)” 的作品,均转载自其它网络或媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
3、如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。联系方式:中国法宣网   E-mail:chinafxw@qq.com  fxwzbs@foxmail.com   QQ:350273444


  • 上一篇文章:

  • 下一篇文章:
  • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
     
    关于〖账户被盗拷问当当网安全认证〗的最新评论:

     仅用邮箱变更账号信息已滞后

         法治周末记者了解到,近段时间以来,当当网用户中遭遇账号被盗、账户内礼品卡被盗刷的不仅是何丽一人。

        今年3月,一名“王差飞向月球”的微博用户,在微博上也反映:自己在未收到短信提示的情况下账户内资料被更改、礼品卡内1500元也被用光。当时,他还将自己的遭遇@了“当当网”和“当当李国庆”。另据媒体报道,今年5月,在杭州滨江一家证券公司上班的朱小姐,礼品卡内1300余元也被盗刷……

        让何丽颇为困惑的是,自己重新登录当当账户后,发现邮箱和手机号码等重要资料的篡改,全部通过邮箱完成,自己绑定的手机号码并未收到任何提醒。

        “平时在当当网的消费和充值情况,手机都会收到短信,但盗号者盗用账号、修改手机号时,我的手机却没有收到任何提醒警示或者验证。所以我认为,这是当当网流程和系统设置的一个大漏洞。”何丽认为,正是当当网在身份认证机制上的缺陷,才使得自己发生了损失。

        不过,何丽告诉法治周末记者,当当网客服人员否认网站存有缺陷,也拒绝承担任何责任。

        那么由邮箱申请账号后,单纯通过邮箱变更电商账号内所有信息是否属于行业通行的做法呢?

        猎豹移动安全专家李铁军在接受法治周末记者采访时表示,之前,互联网服务提供者主要通过用户名和密码确认登录者的身份,变更一般也通过认证的邮箱来进行。

        不过,李铁军表示,随着互联网上拖库(指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库)、撞库事件(黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录)的接连发生,大约从2013年开始,支付宝等第三方支付机构在验证用户身份时启用了账户密码和手机短信验证的双重验证体系,近一两年来开始扩展至B2C电商平台。

       “对于电商平台等具有交易属性的网站,尤其是绑定有支付卡的网站而言,如果目前还没有开通绑定手机号的验证功能,说明其在网络安全措施上还不到位。”李铁军说。

        李铁军认为,对于账号出现的异常登录、账户个人信息的重大变更,如变更收货地址等,电商平台都应当增加手机验证的方式,以此确保用户的账号使用安全。

        法治周末记者在采访中了解到,一些电商平台如淘宝网,如果用户要修改密码或者进行其他事项的变更,为了保障账户安全,在进行变更前都需要确认对方身份,如果账户绑定了手机,则优先进行手机校验;若未绑定则可以选择登录邮箱进行校验。

     变更账户机制被指不合理

        网上交易保障中心副主任乔聪军认为,当当网的这种认证逻辑存有缺陷。他向法治周末记者介绍,一般情况下,如果用户要变更原来的手机号码等资料信息,是需要给原来的手机号码发送验证码,以确保该变更是在原用户的掌控下所进行的操作,“否则绑定手机号就变得没有意义,只是一种摆设”。

        6月18日,法治周末记者以用户身份致电当当网客服,一位男性客服人员告诉记者,如果客户是以手机号码申请的当当网账号,那么要对账户信息进行变更必须通过手机进行验证;如果是以邮箱申请的账号,在用户通过安全中心绑定了手机的情况下,当当网会提供邮箱验证和手机验证两种方式,用户选择其中一种即可。

        该客服人员称,如果用户以邮箱申请当当网账号后,账户密码还同原来的邮箱密码保持一致,就会存有非常高的风险,容易使不法分子通过邮箱验证的方式,变更其所有的信息。

        何丽告诉法治周末记者,其最初的当当账号密码同邮箱密码并不相同,而是存在明显的差异。此次事件后,她又以QQ邮箱重新申请了一个新的当当账号,也绑定了手机号,但是客服人员仍然告诉她,即使绑定,也可以选择通过邮箱更改所有资料。

       何女士认为,在绑定手机号的情况下,还可以单纯通过邮箱进行变更,这样的认证方式缺乏合理性,也让变更者缺乏制约。

        法治周末记者也就该问题采访了徐淳。徐淳表示,当当网对客户的账号安全有严密的保护措施,包括邮箱验证、手机验证等身份验证方式,不过对于何丽遭遇的情形,其需要同技术部门沟通查询更多信息。截至记者发稿,当当网方面未就该问题作出回应。

        对此,李铁军认为,即使密码不同,只要不法分子掌握用户的邮箱和密码,就可以像何丽一样,通过“找回密码”的方式登录平台账号,修改相关信息,同时关联到自己的手机上。因此李铁军认为,在绑定手机号的情形下,仅通过认证邮箱就可以变更所有用户资料的做法是欠妥当的。

    上一页  [1] [2] [3]  下一页

    | 设为首页 | 加入收藏 | 联系站长 |合作报刊| 友情链接 |联系法宣网|法宣邮箱| 常用工具|工作机会| 版权申明|网站管理 |

     FXW.NAME 法宣网【原法讯网】,中国法制宣传网 | 中国纯公益性独立法制类网站

    Copyright 2008-2028 All Rights Reserved 法宣网【原法讯网】 版权所有 未经授权 禁止转载、复制或建立镜像

    您有任何意见和建议,请致函:chinafxw@qq.com 本网最佳浏览器为IE8屏幕分辨率为1280*768