来源:中国新闻周刊
用户信息泄露不是小事
平台自身要加强自律
相关部门也要加大监管力度
11月15日,当当用户张山试着登录自己的账户,结果显示的却是一位来自河南的陌生人账户。
这样离奇的事情在过去十多天里发生了三次。11月上旬,他登录自己的当当账户,结果却先后莫名其妙地进入到一个广东人、一个广西人的账户,而且,他为个人账户充值的200元也一度不翼而飞。
用户王可也遇到类似问题,双十一当天他不吃不喝守候在后台,打算抢券下单,发现不同陌生人购物记录冒出,联系当当几天未果,于是向十多个部门写了万字投诉。
令他们倍感困惑的是:明明是要登录自己的账户,怎么打开的却是别人的账户?自己的账户是否也会被人登录?那么,个人信息岂不是被人一览无余?
《中华人民共和国个人信息保护法》(简称个保法)于2021年11月1日起施行,法律明确加强个人信息保护,防止用户个人信息泄露。此次当当平台连续出现多起信息泄露事件,谁该担责?又该如何避免网络信息漏洞?
陌生人购物记录频繁出现
11月8日,土生土长的北京人张山遇到一件麻烦事,他用手机登录当当网APP后,购物车、历史订单居然是一位广东人的记录,他居然登录上了别人的账户。退出去后再次登录,张山打开的又是一个广西人的账户。
那他自己的账户去哪了?而且他前两天刚为自己的账户充值200元,自己的账户和这200元购书款怎么会不翼而飞?在疑惑之际,他第一时间联系了在线人工客服,并陆续将看到他人购买信息,包括账号、邮寄地址、书名等情况,通过截图的方式告知客服,反复沟通无果。
11月10号,客服打来电话表示是张山通过短信验证方式,将200元购书款充错到一个139开头的手机号关联的账户里。对此,张山莫名其妙,这个139手机号的主人在外地,自己在北京,两个人素不相识,怎么会通过139的手机号进行短信验证登录?
张山怀疑出现了平台系统故障。客服反复否认后台出现故障,并要求张山去报警,同时告知他提供截图不能说明情况,还需要提供视频。
就在张山准备录视频时,张山却发现自己的账户竟然可以登录了。
但没过几天,他的账户又开始非正常登录。11月15日,张山登录自己的账户,结果显示的却是一位来自河南的陌生人账户,而且,当天他看到这一账户里购物车只有58本书,而在11月17日,购物车里却变成了60本书,但这几天里,他并没有做任何购书操作。
张山感到十分疑惑的是,他意外登录了三个陌生人的账户,那么自己的账户是否也会被别人登录?自己的家庭住址、购买信息等个人隐私信息会不会泄露?
无独有偶,身处东部某省份的王可反映,双十一在当当网购买商品每次领券下单都会变成其他人的购物车,有时候提交订单支付时收货人、地址、电话、所购商品、支付的钱数也变成了别人的,如果支付就相当于给别人付款了,甚至更改密码都是别人的手机号接收验证码,这种情况持续了很多天。
最开始,王可向当当官方客服电话、在线人工客服各类渠道反映问题,都无人处理。王可表示,他账户一度出现四五个不同账户的信息,他联系上这些人,发现对方登录后看到的是他的账户。
而且,在沟通过程里,客服人员不承认存在问题,与其发生矛盾和争执,王可决意投诉维权,向十多个官方和民间组织联系,打了几百分钟电话,写下万字投诉,才有人出面解决问题,要求他卸载原APP后扫码官方指定二维码重新下载APP。目前当当并没有明确给出解释,只向他表示后台代码太老旧,没有及时更新过,存在一些技术问题。
王可认为,从他及其所登录的几个账户情况来看,当当存在泄露个人隐私的风险。
客服不承认,平台就没漏洞?
“我的当当用户中居然出现别人的订单”“我的收藏时常会显示别人的收藏”“看到别人用我的账户进行交易的订单”……中国新闻周刊查询发现,近几年在百度、知乎以及各类互联网平台上均有网友反映过当当出现账号错乱等问题。
在王可与当当客服人员沟通时,对方并不承认问题,怀疑这是无中生有,甚至出现情绪对抗,导致他的账户解决了四天才正常。目前,他原有账户的购物车已被清空,此前购买的多个商品被取消,平台向多人泄露了他的个人信息、电话号码和居住地址等隐私。
浙江晓德律师事务所主任陈文明认为,这种事情发生后平台应当第一时间自查,是否出现人为泄露风险,或者技术、系统漏洞。
当当网对中国新闻周刊回应,经调查,此次事件是由于系统升级中极个别机型在特殊登录环境下导致出现了一个小漏洞,仅是个案,并非是用户个人信息泄露问题。目前系统完成升级,bug已修复。
同时,当当网表示目前只收到少数投诉。但根据中国新闻周刊统计,此次事件已涉及近10人的账户,目前仍有用户账户显示异常。
“让用户报警等行为是一种推辞,如果不止一两例用户出现这样的情况,那就应该是平台造成的问题,可能会是个严重的安全事件。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲说道。
在黑猫投诉【投诉入口】上,目前当当被投诉最多的就是售后服务态度差、客服完全不作为,此外账户被盗、被莫名冻结余额等情况时有发生。
“这说明平台技术底层做得质量太差,后台可能有漏洞或者承载负荷率较差,就好比一个质量不太好的桥,过10个人可以,过100个人可能就得下去一些人。”北京大数据协会理事纪思亮比喻道,“客服态度比较恶劣,是因为对当当来说,很多用户是在买书,信息泄露之后不会觉得有很大损失,平台的安全自然也不是刚需,所以不着急改变。”
浙江大学计算机科学与技术学院博士生导师张秉晟表示这次事件关键点在于客服没有意识到问题的严重,直接把问题挡在自己这一层,最终变成“无头案”。他猜测当当后台数据库管理出现混乱,运维团队对基本功能都维护不好,技术能力较弱,这应该不是平台恶意为之,但确实没有尽到保护用户信息的义务,后续可能会产生更大的安全隐患。
奇安盘古隐私安全专家分析,这种情况,可能是电商平台在为用户账号绑定手机号码的时候,验证环节出了问题。现在越来越多的网站、APP支持多种方式进行登录,如果发生错误,可能发生每种登录方式登录到的用户不一致的情况。尤其早期很多网站使用用户名+密码登录,后来需要用户绑定手机号,如果绑定手机号的过程中,错误绑定了另一个人的号码,而平台又未做充分确认,那么可能就会出现使用另一个人的手机号+短信验证码的方式也能登录这个账号的情况。这需要企业根据实际情况进行排查,当然也不排除有其他的一些可能性。
个人隐私裸奔怎么办?
近日,《消费者个人信息保护调查报告》数据显示,五成以上受访者个人信息曾遭泄露,其中个人信息保管不当和保护意识不强是导致个人信息泄露的主因,商家故意泄露占比16.84%,电脑或手机被恶意攻击占比15.82%,商业贩卖所致占比14.03%。
对于个人用户而言,奇安盘古隐私安全专家建议用户在使用网站、APP的过程中,注意个人账号安全,对于绑定的手机号、邮箱、填写的密保问题进行确认,以防出现账号相关问题。同时,个保法明确规定了个人对信息泄露的维权权利。如果用户发现自己信息被泄露,就可以积极投诉,然后履行个人信息保护职责的部门,就需要接受、处理与个人信息保护有关的投诉、举报,再去进行调查和处理。
对平台来说,个保法第五章明确了个人信息处理者的义务,其中包括“制定内部管理制度和操作规程”“采取相应的加密、去标识化等安全技术措施”“制定并组织实施个人信息安全事件应急预案” 等,以防止未经授权的访问以及个人信息泄露、篡改、丢失。
从本次案例来看,奇安盘古隐私安全专家认为的确出现了个人信息访问控制上的问题。对于收集和处理个人信息的电商企业而言,保护个人信息是平台应该履行的义务和职责。没保护好用户的个人信息,就是平台的失职。
当当网的安全问题由来已久。2011年,当当网被曝出由于设计缺陷可导致用户资料泄露,2015年,有当当网用户在当当网下单买书后仅一天,个人信息就被骗子掌握,被骗走约十万元。2020年,当当曾被工信部公开点名,未完成整改,涉嫌侵害用户权益,存在问题为私自收集个人信息、超范围收集个人信息以及不给权限不让用。
“目前来看,当当确实存在信息泄露风险,平台可能不想声张这回事,外界无法确认是否已造成大面积信息泄露。如果不法分子看到相关信息,可能会出现违法风险。”陈文明分析道。
当当内部不具名人士透露,今年双十一平台销量比较差,今年披露的战报也并不涉及增长和成交额,只有书单销售排行榜。另一位不具名分析人士指出平台走下坡路的时候,在技术方面的投入会越来越少。
张秉晟提出企业要用最大的努力来维护个人信息安全,用户个人信息被平台收集,未经同意给到其他人,个体是无法解决这类问题的。没有能力保护信息,那么平台就不该收集用户信息。“企业本身没有动力做安全建设,法律法规就是来保护消费者,保护弱势群体的。当然,具体的执行条例还没有完全落实,隐私保护还有很长的路要走。”
首都经贸大学大数据与统计科学研究院院长纪宏表示,现在数据产权界定不够明晰,公司数据很多来自个体,使用得当可以带来效益,使用不得当可能带来巨大损失。对于恶意利用数据产生暴利的行为,要严厉打击。
段和段律师事务所合伙人刘春泉提到:“未来数据越来越重要,很多企业也越来越重视数据安全问题,违规企业可能面临高额罚款。用户信息的泄露并不是小事,涉及到背后很重要的法律问题。目前消费者处于十分弱势的地位,平台自身要加强自律,相关部门也要加大监管力度。”
(张山、王可均为化名)
值班编辑:肖冉
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)