📖 ZKIZ Archives

“應把籬笆紮緊一點，為消費者把好關” 蘇寧易購用戶信息遭泄露

“我按照電話一個個地打，越打越傷心。包括姓名、電話、買的東西……我發現那些信息都是真的。”

被自稱“蘇寧易購客服”的詐騙電話騙去47，500元後，華南師範大學教師李壽明抱著求證的心態，從網上購買了兩百條“蘇寧易購客戶信息”，經核實無誤後，一個一個致電提醒對方不要上當受騙，“我不想他們跟我一樣”。

截至2015年9月15日，“蘇寧泄露隱私維權群”中已有北京、長沙、廣州等141名受害者，單筆被騙金額最高達8.3萬元，被騙總金額達190萬元。

蘇寧易購方面表示，已向南京玄武區公安局報案，並會全力配合警方調查。但由於“沒有查詢到因為蘇寧易購系統的原因所導致的信息泄露”，不可能對受害者進行賠償。

以取消業務為名行騙

2015年4月5日，李壽明在蘇寧易購下單購買了一臺小冰箱。兩個月後，他接到一個自稱“蘇寧易購客服”的電話，對方一字不差地報出了他在蘇寧易購上下單的包括購物時間、所購商品、發貨地址等訂單信息。對方稱誤把李壽明歸到了批發商名單當中，希望他配合取消此業務，不然所綁定銀行卡的余額有被扣除的風險。

接著，另一自稱受蘇寧易購委托幫助取消業務的“銀行工作人員”打來電話，“指導”李壽明在ATM上進行了一連串操作。因為步驟多、對方的說辭也很專業，李壽明沒有意識到自己正在轉賬。等到恍然大悟，他的錢已經落入對方的銀行賬戶里。

華南理工大學學生林未也在蘇寧易購購物後接到“蘇寧易購客服”和“銀行工作人員”的電話，導致他的支付寶被騙走18，155元。

林未認為，他之所以上當是因為騙子提供了準確的訂單信息，使他相信了騙子假冒的“蘇寧易購客服”身份。他相信是蘇寧易購泄露了訂單信息，並決定找蘇寧易購理賠。

7月28日，林未等5名受害者來到蘇寧易購位於南京的總部，要求蘇寧易購道歉並賠償損失，同時在蘇寧易購網站首頁公示詐騙場景或群發防詐騙短信。蘇寧易購方面拒絕了這些要求。

當時在場的蘇寧易購法務部工作人員對林未說：“如果法院判了（是我們的錯），我們會一分錢不少地（賠給你）……但不會私底下協商賠償。”

8月16日，蘇寧易購山東濟南消費者王淑華同樣接到了自稱把她歸到了批發商名單、要求取消訂單的電話，最後導致她被騙近七萬元。多次向蘇寧易購投訴後，王淑華得到的回應是“蘇寧易購不會泄露用戶信息”“建議您盡快報警”以及“我們會協助警方調查”。

李壽明發現，蘇寧易購直到8月31日才在實體店發布了防詐騙提示信息。“而6月在網上掛出的防詐騙提示卻深藏在蘇寧易購的五級菜單下，要費很大的力氣才能找到。”

中國人民大學商法研究所所長、中國消費者協會常務理事劉俊海認為，蘇寧易購沒有以顯著的、容易理解的方式警示消費者，是在履行消費者保護義務方面有所懈怠。

系統漏洞或致信息泄露

訂單信息到底是從哪里泄露出去？被騙之後，大惑不解的李壽明專門翻出了冰箱外包裝，上面並沒有訂單信息。

他嘗試著搜索“個人信息出售”QQ群，並在一個群中求購蘇寧易購訂單交易數據。李壽明順利地買到了兩百條蘇寧易購電器類訂單信息。賣家告訴李壽明，既有蘇寧易購內部員工在販賣信息，也有黑客通過攻擊蘇寧易購的系統來提取數據。

李壽明還發現，在第三方安全漏洞平臺烏雲網上，由“白帽子”（識別並公布系統安全漏洞但不惡意利用的網絡高手）提交給蘇寧易購的系統漏洞多達兩百多條。讀大學時修讀過計算機專業的李壽明稱，經查詢，他在烏雲平臺上獲得的蘇寧易購的系統漏洞，早前確實存在。

“可能因為蘇寧易購的業務比較龐大，程序邏輯問題比較多，旗下網站的子系統問題也比較多。”烏雲網安全專家王彪這樣評價蘇寧易購系統漏洞問題。

自2012年6月至2015年9月，烏雲平臺上共發布蘇寧易購系統漏洞270條，其中在2015年發布的漏洞數目顯著增多，僅6月就發布了58條。

270條漏洞中，與敏感信息泄露相關的占5%，與用戶敏感數據泄露相關的占1%。其他類別的漏洞也可能導致泄露用戶信息的風險，比如後臺弱口令。王彪解釋，後臺弱口令就是管理人員的密碼設置比較簡單，容易被暴力猜出；如果在有敏感信息的系統中存在後臺弱口令漏洞，那麽用戶信息同樣有泄露的可能。

據王彪分析，從目前發現的蘇寧易購系統漏洞中能夠得到部分用戶的訂單號碼、姓名、電話、地址等信息。但是，“漏洞是‘白帽子’發現後提交到烏雲的，在此之前，我們也不知道是否有被利用。理論上來說，廠商收到漏洞都是會立馬修複的。這畢竟關系到他們自身系統、業務安全。”

王彪向南方周末記者分析了提交於7月份的兩個蘇寧易購系統漏洞。其中一個漏洞名為“蘇寧易購主站多接口越權操作訂單及遍歷用戶訂單信息”，在正常情況下登錄蘇寧易購系統，用戶看到的應該是自己的酒店訂單。但由於蘇寧易購的系統驗證問題，用戶通過訪問不同的訂單網址，還能看到別人的訂單信息。“如果沒有更多安全防護措施的話，所有酒店訂單信息都可以看到。”

7月31日提交的題為“蘇寧易購支付某處url任意跳轉已被大量運用到釣魚詐騙中”的漏洞指出，蘇寧易付寶的某個鏈接沒有做跳轉限制，可以跳到其他網站。如果攻擊者利用它跳轉到釣魚網站，用戶看到主域名是蘇寧易購的，就會比較信任，容易上當受騙。王彪表示，蘇寧易購現在已經增加了這一限制，不會再出現類似問題。

蘇寧易購：我們不可能賠償消費者

蘇寧易購客戶服務中心負責處理此事的蔣姓工作人員告訴南方周末記者，烏雲網提交的系統漏洞“已經修複掉了”。他表示，蘇寧易購網站的安全等級是絕對達到標準的。針對4月以來大批消費者被騙，蘇寧易購成立了專門調查小組，“目前沒有跡象證明因為蘇寧易購系統原因導致用戶信息泄露”。

“無論出於什麽原因，我們都不可能對消費者做任何賠償。”該工作人員表示，蘇寧易購有責任去保護用戶信息，但沒有責任賠償這部分消費者的損失，因為“蘇寧易購沒有主動泄露任何的用戶隱私信息，在這件事上也是一個受害者，這對蘇寧易購的名譽也造成了較大的影響”。

劉俊海認為，即便蘇寧易購沒有主動泄露消費者隱私信息，也不能證明其沒有過失。“你應當把籬笆紮緊一點，為消費者站好崗把好關。”根據消費者權益保護法第七條，消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利；消費者有權要求經營者提供的商品和服務，符合保障人身、財產安全的要求。如果因未采取合理的保障措施致使消費者個人信息泄露並造成損害，蘇寧易購就違反了消費者安全保護義務。

劉俊海建議，除了協助公安機關破案，蘇寧易購也應積極與消費者商討解決方案。

北京市律師協會消費者權益法律事務專業委員會主任邱寶昌建議受害者報案，或向市場監管部門投訴。他認為，消費者可以盡到自己的舉證義務，但要證明蘇寧易購是過失性泄露信息或個別人故意泄露信息，還須借助行政力量和司法力量進行調查，單憑消費者個人舉證很難做到證據充分。