当当网账户余额失窃 安全认证成虚设

　　近日，有用户爆料自己的当当网账户余额失窃了，而绑定的手机未收到任何提示短信，也就是说当当网手机号绑定这一安全措施形同虚设。

　　据报道，对于用户网站账户里原本应有的礼品卡和余额不翼而飞这一事件，根据当当网客服人员的说法，这是邮箱密码泄露所招致的被盗，不过对于这样的回应，用户并不能接受，并表示自己明明已经绑定了手机号，黑客却仅凭邮箱就变更了资料并窃取了账户金额，也就是说，手机号绑定这一安全措施形同虚设，难道当当网没有一点责任?

　　当当网账户现金余额和礼品卡频繁失窃

　　今年5月27日，来自广州的用户何丽在登录当当网时，网站提示：账号密码错误。起初，何丽以为是两个月未登录该账户，忘记了密码，便通过当初认证的邮箱上尝试找回密码。

　　不过，当她找回密码重新登录后，却发现自己在当当网账号下的原有礼品卡余额由应有的359元变为0，原先的订单信息也全部消失。“我的账号虽然还在，但却已经变成了空账号。”

　　其实，此次并非当当网用户第一次遭遇盗号事件。早在2012年初，当当网就被爆出大量用户账号被盗。当时，当当网对媒体给出的解释是源于CSDN[微博]网站数千万用户密码被泄露。

　　2014年3月，当当网再次被爆出用户账户余额被盗事件，当当网对此发布公告称，此次账号余额被盗事件是由于其WAP端存在安全漏洞所引起的，当当也承诺由此造成的消费者损失，会由公司先行赔付。

　　今年3月，一名“王差飞向月球”的微博用户，在微博上也反映：自己在未收到短信提示的情况下账户内资料被更改、礼品卡内1500元也被用光。

　　另据媒体报道，今年5月，在杭州滨江一家证券公司上班的朱小姐，礼品卡内1300余元也被盗刷……

　　仅用邮箱变更账号信息已滞后

　　对于此次何丽账户余额失窃事件，当当网客服人员否认网站存有缺陷，也拒绝承担任何责任。那么由邮箱申请账号后，单纯通过邮箱变更电商账号内所有信息是否属于行业通行的做法呢?

　　猎豹移动安全专家李铁军在接受记者采访时表示，之前，互联网服务提供者主要通过用户名和密码确认登录者的身份，变更一般也通过认证的邮箱来进行。

　　不过，李铁军表示，随着互联网上拖库(指黑客攻击网站漏洞，窃取包含用户注册邮箱和密码的数据库)、撞库事件(黑客将数据库聚合在一起，专门针对知名电商网站自动化批量登录)的接连发生，大约从2013年开始，支付宝[微博]等第三方支付机构在验证用户身份时启用了账户密码和手机短信验证的双重验证体系，近一两年来开始扩展至B2C电商平台。

　　对于电商平台等具有交易属性的网站，尤其是绑定有支付卡的网站而言，如果目前还没有开通绑定手机号的验证功能，说明其在网络安全措施上还不到位。”李铁军说。

　　李铁军认为，对于账号出现的异常登录、账户个人信息的重大变更，如变更收货地址等，电商平台都应当增加手机验证的方式，以此确保用户的账号使用安全。

　　网上交易保障中心副主任乔聪军认为，当当网的这种认证逻辑存有缺陷。一般情况下，如果用户要变更原来的手机号码等资料信息，是需要给原来的手机号码发送验证码，以确保该变更是在原用户的掌控下所进行的操作，“否则绑定手机号就变得没有意义，只是一种摆设”。

　　对于当当网的安全认证机制，业内认识认为，相对于普通用户，电商平台更应知晓不同验证方式对应的风险等级，尤其是此前当当网出现了多起用户账号被盗事件，出于保护消费者权益的考虑，在用户原账号信息作出重大变更时，应当通过多重方式进行验证和告知，手机短信验证应该成为提示的“标配”。

　　尽管互联网企业难以保障绝对的安全，但是在网络安全事件频发的大背景下，对于此次的当当网账户余额失窃事件，作为互联网服务提供商，应该在现有认知水平范围内认真梳理公司的安全保障机制，这是对用户应尽的保护义务。

　　更多电商资讯内容 参看：http://www.hishop.com.cn/ecschool/kdzx/