新闻源 财富源

2024年12月16日 星期一

财经 > 产经 > 公司新闻 > 正文

字号:  

"美丽说"用户信息泄露受骗 网站曾曝高危安全漏洞

  • 发布时间:2015-01-15 15:18:04  来源:中国网财经  作者:甄鼎丞  责任编辑:马艺文

  中国网财经1月15日讯(记者 甄鼎丞) 国内电商网站“美丽说”曝出用户信息泄露事件。近日,多位“美丽说”用户向中国网财经记者反映,其用户信息、订单信息和支付信息遭泄露,骗子正在利用这些个人信息进行诈骗。而被骗金额最多的受害者,被骗走5万余元,受害者中不乏无稳定收入的学生。

  对此,“美丽说”负责人表示“经过排查,信息泄露的原因并不在我们网站。”

  但值得注意的是,去年8月,漏洞公布平台乌云网曾发布“美丽说”网站高危安全漏洞,“美丽说”方面却选择忽略。网络安全专家龚蔚认为,此次用户信息泄露与上述漏洞或存在联系。

  多位“美丽说”用户受骗

  据受骗者裘小姐介绍,2014年12月31日接到号码为4000800577(美丽说客服电话)的来电,对方声称是“美丽说”客服人员,准确地说出了她的姓名、电话、地址、购买商品信息,以及支付方式。

  “客服”表示,新员工因为整理资料失误,把用户加入批发商名单,然后每个月会从用户银行里面扣除500元,扣12个月,并询问是否需要取消。

  裘小姐确认取消的几分钟后,接到了自称是农业银行的电话。骗子假装农行人员,要求他去农行ATM,按照其的指令进行取消。但实际操作却是,让裘小姐将卡里的钱转账给指定账户。

  事后,裘小姐就意识到可能被骗了,但为时已晚。“他们说得特别专业,比银行人员还专业,当时我脑袋转不过弯,钱就一下子没了。”裘小姐表示。

  同时,在微博中也有众多网友反应了与裘小姐相似的被骗经历。记者采访到了其中7位受害者,网友“一鹿随鹿”被骗金额最多,共计5万余元。受害者中,有多位是还在上学的学生。目前,受害者已报警。

  对此,“美丽说”客服表示,用户接到的客户电话是伪造的,并非真正的客服电话,最近接到多起此类诈骗投诉的反馈。

  但当中国网财经记者问起反馈的具体数量时,“美丽说”相关负责人以“正在协助公安机关调查”为由,谢绝回答。

  工程师忽略网站高危漏洞?

  追悔之余,用户最为气愤的是“为何骗子能掌握其准确的个人信息、订单信息和支付信息?”,并质疑“美丽说”网站泄露了这些信息。

  对于质疑,“美丽说”相关负责人解释称“经过排查,信息泄露不是我们网站安全的原因。但我们还在配合公安机关调查,所以证据也没有办法向外公布。”

  然而,这种说法似乎并不得到业内人士的信任。

  2014年8月11日,漏洞公布平台乌云网称发布高危安全漏洞——《美丽说主库SQL及N多root权限数据库配置信息泄露》。漏洞发布者称此漏洞可导致获得企业各种数据库。

  著名网络安全专家龚蔚也证实了此漏洞的真实性。“域名下的数据库最高权限和全部数据库,都被获取。”龚蔚向中国网财经记者表示,“据判断,美丽说主站上有一个存放配置文件的目录,文件里就有链接数据库的密码、地址、端口等信息。但这个文件没有加访问权限,还是明文显示,致使不该看到的人看到了(配置)。”

  “这是一个低级的漏洞。”龚蔚看来。

  然而,就是这样一个“低级的漏洞”,美丽说网站工程师当时的回复却是“无影响 厂商忽略”。

  对此,“美丽说”方面拒绝置评。

  据官网介绍,“美丽说”网站拥有超过1亿的注册用户。

  “对于轻视用户安全的企业,被曝出问题是迟早现象。”龚蔚认为。

  律师:可要求赔偿

  按照《网络交易管理办法》第十八条规定:网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。

  那么,因用户信息泄露而被骗的受害者,可否要求企业进行赔偿?

  “首先要分清楚,是主观故意泄露,还是技术漏洞导致。如果是第一种情况,很有可能构成犯罪。因为刑法里对获取个人信息进行牟利的行为有专门的规定。但由于技术原因或是网络攻击导致的,法律上是没有明确的赔偿比例。需要根据具体表现,由法院综合进行裁量。”浙江金道律师事务所张延来律师向中国网财经记者表示。

  在张律师看来,如果“美丽说”在保护措施上非常不完备,未达到同行业的标准,有明显的漏洞的话,那么可要求其承担相应的法律责任。

  同时,张律师也对受害者给出建议,“对于当事人,最重要的就是证据。首先,要证明与美丽说之间是有信息采集关系。其次,证明企业出现这样的漏洞,而漏洞导致了信息泄露。第三,证明因为信息泄露给当事人带来怎样的损失。要尽可能提供充分的证据,然后寻求专业人士的帮助进行维权。”

热图一览

高清图集赏析

  • 股票名称 最新价 涨跌幅