这些受害者反映的问题集中于:投诉无果、处理太慢、被盗款无法追回。
对此当当网回复21世纪网,建议用户报警,如果因当当原因订单未及时拦截,款项未追回,或顾客已在当当安全中心全部绑定设置后,其账户金额依然被盗,可进行先行补偿。
用户自爆账户遭盗刷:金戒不是我的
广州的消费者李小姐在3月1日发现,自己当当网的上千元余额被盗走了。
李小姐曾在当当网分三次充值总价3000的礼品卡。被刷走当天,李小姐突然发现自己的账户里有一个新订单,订单显示是一条价值2596元的千足金戒指,而收件人的地址是湖北武汉,是一个陌生人。
包裹尚未发货,李小姐立即和当当网客服沟通,得到的回复是当当网将联系商家拦截包裹,百分之百可以追回款项,并将在24小时内给她回复。
由于当当网的规定,她无法和平台商家直接沟通,也不能取消订单,在新浪微博上@当当网的公众号也得不到任何回应,李小姐只能寄希望于当当客服尽快处理此事。但是24小时内并没有得到任何回电,她多次电话联系当当客服,都被回复“投诉在处理过程中”。
3月3日晚十点,李小姐吃惊地发现,商家已经给这个陌生地址发货,第二天包裹就被签收了。
“当当网的响应机制太慢了,对于用户的投诉不能及时跟进,连用户举报账户被盗,要求冻结账户,拦截包裹都无法做到,在资金交易上没有很好的安全体系和安全管理制度。”她对21世纪网表示。
图:消费者遭盗刷订单另一位来自北京的新浪微博网友@被抢了名的小苗也有李小姐一样的烦恼,她对21世纪网表示,2月17日她礼品卡里的三百余元被不法分子盗走,账户的验证邮箱、密码、手机号都被篡改,对方用余额购买了一个手机,收货地址显示是深圳市。
“我们有一个qq群,群里有八十多个礼品卡被盗的受害者,被盗款项从几百到上千元不等,最高被盗了八千多元。我们向当当网客服投诉,他们的回应是会向公安报警,请耐心等待。但是至今没有人追回被盗款。”
她向21世纪网出示了一份表格,上面详细记录了23名被盗用户的详细情况,包括原始注册邮箱和被修改后邮箱,被盗金额,事发时间,被盗细节,快递单号等等。被盗金额最高为3200元,案发时间集中在去年12月到今年2月,收货地址集中在湖北省武汉市江岸区,其他还包括深圳市、天津市、山东青岛市、湖南邵阳市等。
在2012年,当当网、京东、一号店等电商也集中爆发礼品卡盗刷事件,盗号途径如出一辙,主要因为当年1月CSDN网站几千万用户密码被爆,不法分子在几家电商试用,用盗窃的余额购物。
据上述表格显示,有一位2012年1月当当礼品卡被盗的消费者,至今还没有追回任何赔偿款。犯罪嫌疑人盗取两百元,并另通过支付宝加附三元,购买两桶油,直到现在也没有破案。
去年十二月中消协公布《信息消费与安全调研报告》显示,互联网投诉排在服务类投诉的第四位,每年约接到万件投诉。最让人担忧的就是个人信息泄露、支付诈骗及电脑账号被窃。
根据报告,网购平台中,消费者对电商提供的购物信息最不满意原因主要集中在虚假产品信息过多,产品描述不清晰、不全面,夸大描述与实物不符。电商售后服务满意度普遍较低,亚马逊、易迅网相对较高,淘宝网、当当网偏低。
当当网:损失可先行补偿
当当网公关部负责人在接受21世纪网采访时表示,“消费者的损失我们会全额赔付,最近几日客服接到了用户集中反映账户被盗的情况,我们认为这是团伙盗号行为。”
李小姐是当当网近几日受理的第三起被盗投诉,在经过核实和沟通后,当当网已经赔付她全部的被盗款项。
对于顾客投诉并未在24小时内得到回电,当当网进行了公开道歉,“当当网接到类似投诉事件后会第一时间进行核实,并迅速采取相关措施。通畅情况下是24小时给与用户回复,由于账号资金被盗用属于比较特殊的情况,我们内部管理层也对此进行了专项调查分析,可能在此过程中没能及时回馈消费者,对此,我们向消费者致歉。”
这位负责人表示,对于类似账户被盗事件消费者有以下解决途径:
发现账户被盗,且订单未送达的情况下:建议用户立即打电话给当当客服中心进行备案,如果客服中心订单拦截成功,会将订单商品返还用户;
发现账户被盗,且订单已送达的情况下:会提醒用户立即向当地公关机关报警备案,警方破获案件且财产追回,可将涉案商品退还顾客。如果顾客及时发现账户被盗,如因当当原因订单未及时拦截,款项未追回,可先行补偿。
另外,对于顾客已在当当安全中心全部绑定设置后,其账户金额依然被盗的情况,因为顾客已经在既有条件下做了对自己利益最大的保护,经核实后,可进行先行赔偿,警方破案后涉及订单商品归当当网所有。
“当当网计划在2014年通过一系列技术性手段,提高用户账户的安全,如调整安全中心绑定逻辑;使用余额/礼品卡时,加强认证管理;以实物商品的订单地址为判定进入人工审单等等。”上述负责人表示。
电商如何建立成熟的反盗号体系?
360公司安全专家安扬对21世纪网表示,电商网站盗号产业链分为“拖库”、“扫号”和销赃三个主要环节。
“拖库”指黑客攻击网站漏洞,窃取包含用户注册邮箱和密码的数据库。例如此前CSDN、天涯等多网站用户密码库泄露。
“扫号”指黑客将数据库聚合在一起,专门针对知名电商网站自动化批量登录。如果用户在不同网站都使用相同的注册邮箱和密码,一旦有一家网站被黑客拖库,那么该用户的所有账号都面临被盗风险;
黑客销赃的手段则包括消费受害者账户余额、截取商品,收集受害者电话、地址等个人资料,进行诈骗活动。
“在CSDN等多网站“泄密门”爆发后,网上公开的注册邮箱和密码达到上亿条,而黑客团伙实际掌握的数据库规模可能远远超过这个数字。”安扬表示。
那么电商网站和消费者该如何加强网络信息安全的防范呢?
安扬建议,“电商网站重要数据库应加密保护,把黑客拖库的风险降到最低;建立成熟的反盗号体系,能够监测并防范黑客以自动化登录方式批量盗号。”
金山毒霸工程师李铁军补充道,电商公司应该组建专业安全团队,联合第三方安全厂商协同保护网站安全。从制度上防止未经授权的员工不恰当地下载复制用户数据。
同时他建议,个人用户应该对常用的互联网服务分类管理,把重要的和一般的服务分开。
重要服务,比如工作邮箱、私人关键邮箱、淘宝、支付宝、网银,或其他B2C网购服务。必须确保一个服务一个密码,不得混用。
一般服务,尽量使用QQ或微博授权登录,或者共用密码都不会有大的危害,在这种服务上,尽可能隐藏自己的个人信息。
中国互联网协会信用评价中心法律顾问赵占领曾公开表示,目前我国尚缺专门保护公民个人信息的法律,消费者隐私权很难获得有效的法律保护。如果无法证明个人信息如何泄漏,很难证明损失了多少。目前的监管更多靠社会举报,政府部门才会介入。
赵占领为此建议,对严重侵犯消费者个人信息的侵权行为,消费者可以请求消协提起公益诉讼。
