📖 ZKIZ Archives

“應把籬笆紮緊一點，為消費者把好關” 蘇寧易購用戶信息遭泄露

“我按照電話一個個地打，越打越傷心。包括姓名、電話、買的東西……我發現那些信息都是真的。”

被自稱“蘇寧易購客服”的詐騙電話騙去47，500元後，華南師範大學教師李壽明抱著求證的心態，從網上購買了兩百條“蘇寧易購客戶信息”，經核實無誤後，一個一個致電提醒對方不要上當受騙，“我不想他們跟我一樣”。

截至2015年9月15日，“蘇寧泄露隱私維權群”中已有北京、長沙、廣州等141名受害者，單筆被騙金額最高達8.3萬元，被騙總金額達190萬元。

蘇寧易購方面表示，已向南京玄武區公安局報案，並會全力配合警方調查。但由於“沒有查詢到因為蘇寧易購系統的原因所導致的信息泄露”，不可能對受害者進行賠償。

以取消業務為名行騙

2015年4月5日，李壽明在蘇寧易購下單購買了一臺小冰箱。兩個月後，他接到一個自稱“蘇寧易購客服”的電話，對方一字不差地報出了他在蘇寧易購上下單的包括購物時間、所購商品、發貨地址等訂單信息。對方稱誤把李壽明歸到了批發商名單當中，希望他配合取消此業務，不然所綁定銀行卡的余額有被扣除的風險。

接著，另一自稱受蘇寧易購委托幫助取消業務的“銀行工作人員”打來電話，“指導”李壽明在ATM上進行了一連串操作。因為步驟多、對方的說辭也很專業，李壽明沒有意識到自己正在轉賬。等到恍然大悟，他的錢已經落入對方的銀行賬戶里。

華南理工大學學生林未也在蘇寧易購購物後接到“蘇寧易購客服”和“銀行工作人員”的電話，導致他的支付寶被騙走18，155元。

林未認為，他之所以上當是因為騙子提供了準確的訂單信息，使他相信了騙子假冒的“蘇寧易購客服”身份。他相信是蘇寧易購泄露了訂單信息，並決定找蘇寧易購理賠。

7月28日，林未等5名受害者來到蘇寧易購位於南京的總部，要求蘇寧易購道歉並賠償損失，同時在蘇寧易購網站首頁公示詐騙場景或群發防詐騙短信。蘇寧易購方面拒絕了這些要求。

當時在場的蘇寧易購法務部工作人員對林未說：“如果法院判了（是我們的錯），我們會一分錢不少地（賠給你）……但不會私底下協商賠償。”

8月16日，蘇寧易購山東濟南消費者王淑華同樣接到了自稱把她歸到了批發商名單、要求取消訂單的電話，最後導致她被騙近七萬元。多次向蘇寧易購投訴後，王淑華得到的回應是“蘇寧易購不會泄露用戶信息”“建議您盡快報警”以及“我們會協助警方調查”。

李壽明發現，蘇寧易購直到8月31日才在實體店發布了防詐騙提示信息。“而6月在網上掛出的防詐騙提示卻深藏在蘇寧易購的五級菜單下，要費很大的力氣才能找到。”

中國人民大學商法研究所所長、中國消費者協會常務理事劉俊海認為，蘇寧易購沒有以顯著的、容易理解的方式警示消費者，是在履行消費者保護義務方面有所懈怠。

系統漏洞或致信息泄露

訂單信息到底是從哪里泄露出去？被騙之後，大惑不解的李壽明專門翻出了冰箱外包裝，上面並沒有訂單信息。

他嘗試著搜索“個人信息出售”QQ群，並在一個群中求購蘇寧易購訂單交易數據。李壽明順利地買到了兩百條蘇寧易購電器類訂單信息。賣家告訴李壽明，既有蘇寧易購內部員工在販賣信息，也有黑客通過攻擊蘇寧易購的系統來提取數據。

李壽明還發現，在第三方安全漏洞平臺烏雲網上，由“白帽子”（識別並公布系統安全漏洞但不惡意利用的網絡高手）提交給蘇寧易購的系統漏洞多達兩百多條。讀大學時修讀過計算機專業的李壽明稱，經查詢，他在烏雲平臺上獲得的蘇寧易購的系統漏洞，早前確實存在。

“可能因為蘇寧易購的業務比較龐大，程序邏輯問題比較多，旗下網站的子系統問題也比較多。”烏雲網安全專家王彪這樣評價蘇寧易購系統漏洞問題。

自2012年6月至2015年9月，烏雲平臺上共發布蘇寧易購系統漏洞270條，其中在2015年發布的漏洞數目顯著增多，僅6月就發布了58條。

270條漏洞中，與敏感信息泄露相關的占5%，與用戶敏感數據泄露相關的占1%。其他類別的漏洞也可能導致泄露用戶信息的風險，比如後臺弱口令。王彪解釋，後臺弱口令就是管理人員的密碼設置比較簡單，容易被暴力猜出；如果在有敏感信息的系統中存在後臺弱口令漏洞，那麽用戶信息同樣有泄露的可能。

據王彪分析，從目前發現的蘇寧易購系統漏洞中能夠得到部分用戶的訂單號碼、姓名、電話、地址等信息。但是，“漏洞是‘白帽子’發現後提交到烏雲的，在此之前，我們也不知道是否有被利用。理論上來說，廠商收到漏洞都是會立馬修複的。這畢竟關系到他們自身系統、業務安全。”

王彪向南方周末記者分析了提交於7月份的兩個蘇寧易購系統漏洞。其中一個漏洞名為“蘇寧易購主站多接口越權操作訂單及遍歷用戶訂單信息”，在正常情況下登錄蘇寧易購系統，用戶看到的應該是自己的酒店訂單。但由於蘇寧易購的系統驗證問題，用戶通過訪問不同的訂單網址，還能看到別人的訂單信息。“如果沒有更多安全防護措施的話，所有酒店訂單信息都可以看到。”

7月31日提交的題為“蘇寧易購支付某處url任意跳轉已被大量運用到釣魚詐騙中”的漏洞指出，蘇寧易付寶的某個鏈接沒有做跳轉限制，可以跳到其他網站。如果攻擊者利用它跳轉到釣魚網站，用戶看到主域名是蘇寧易購的，就會比較信任，容易上當受騙。王彪表示，蘇寧易購現在已經增加了這一限制，不會再出現類似問題。

蘇寧易購：我們不可能賠償消費者

蘇寧易購客戶服務中心負責處理此事的蔣姓工作人員告訴南方周末記者，烏雲網提交的系統漏洞“已經修複掉了”。他表示，蘇寧易購網站的安全等級是絕對達到標準的。針對4月以來大批消費者被騙，蘇寧易購成立了專門調查小組，“目前沒有跡象證明因為蘇寧易購系統原因導致用戶信息泄露”。

“無論出於什麽原因，我們都不可能對消費者做任何賠償。”該工作人員表示，蘇寧易購有責任去保護用戶信息，但沒有責任賠償這部分消費者的損失，因為“蘇寧易購沒有主動泄露任何的用戶隱私信息，在這件事上也是一個受害者，這對蘇寧易購的名譽也造成了較大的影響”。

劉俊海認為，即便蘇寧易購沒有主動泄露消費者隱私信息，也不能證明其沒有過失。“你應當把籬笆紮緊一點，為消費者站好崗把好關。”根據消費者權益保護法第七條，消費者在購買、使用商品和接受服務時享有人身、財產安全不受損害的權利；消費者有權要求經營者提供的商品和服務，符合保障人身、財產安全的要求。如果因未采取合理的保障措施致使消費者個人信息泄露並造成損害，蘇寧易購就違反了消費者安全保護義務。

劉俊海建議，除了協助公安機關破案，蘇寧易購也應積極與消費者商討解決方案。

北京市律師協會消費者權益法律事務專業委員會主任邱寶昌建議受害者報案，或向市場監管部門投訴。他認為，消費者可以盡到自己的舉證義務，但要證明蘇寧易購是過失性泄露信息或個別人故意泄露信息，還須借助行政力量和司法力量進行調查，單憑消費者個人舉證很難做到證據充分。

午市盤點丨大金融發力護盤 A股後市盯緊一關鍵點位

周五(10月28日)受外圍市場拖累，三大股指早盤小幅低開，之後券商股大爆發，銀行、保險、黃金等權重板塊逐漸走強，滬指震蕩走高，09：41左右，券商板塊漲幅開始收窄，市場做多熱情有所降溫，鋼鐵、有色、房地產板塊由漲轉跌，股指上演沖高回落走勢，深成指、創業板指數率先翻綠，臨近午盤市場有所回暖，股指再度企穩。

截至上午收盤，上證綜指收報3,113.35點，上漲1點，漲幅0.03%，成交額1,223億元;深證成指收報10,759.61點，下跌29.36點，跌幅0.27%，成交額1,737億元;創業板指收報2,177.13點，下跌5.35點，跌幅0.25%，成交額498億元。

在資金方面，截至午間收盤，滬股通凈流出2億元。另外，央行周五進行950億元7天期逆回購操作、650億元14天期逆回購操作、350億元28天期逆回購操作。今天有800億逆回購到期，此外還有1660億元6個月期中期借貸便利(MLF)到期。央行公開市場資金凈投放達到1150億元，本周累計凈投放5950億元。

熱點板塊：

受次新銀行股的帶動，銀行板塊今日漲幅居前，無錫銀行(600908)、常熟銀行(601128)拉升封板，江陰銀行(002807)、貴陽銀行(601997)紛紛大漲。

受風險偏好降低的影響，次新股受到資金的追捧，來伊份(603777)、通用股份(601500)封死漲停，振華股份(603067)、聯得裝備(300545)等多只次新股大漲。

高送轉繼續強勢的表現，唐德影視(300426)再封漲停，高偉達(300465)、四通新材(300428)紛紛大漲。

煤炭板塊早間有所回暖，但最終上演沖高回落的走勢;高送轉概念也表現較為活躍;恒大舉牌概念股承壓，除了梅雁吉祥漲幅4%外，其余個股均有不同程度的跌幅。而隨著龍頭瀘天化的停牌自查，股權轉讓概念股全線熄火。

跌幅榜方面，鈦白粉、新材料等板塊跌幅居前。

消息面上：

1、分析人士認為，從去年到今年，銀行體系流動性“由奢入儉”，並不能完全歸因於外匯占款趨勢性下降，貨幣政策操作的調整也是關鍵因素。隨著貨幣政策關註點向防風險、去杠桿的傾斜，需要以適度犧牲流動性穩定性及擡高市場利率水平為代價。往後看，年底影響流動性的季節性因素較多，資金外流壓力仍大，流動性難免再現短時波動，“緊日子”還難言到頭，市場機構仍需加強流動性管理。

2、國家統計局數據顯示，煤炭、鋼鐵等行業資產負債率逆勢回升。隨著煤炭價格上升，電力行業利潤被侵蝕，電力行業可能將逐漸走向虧損，煤電未來的關系問題，則需要加快理順。

3、人民幣兌美元中間價報6.7858，創2010年9月來新低，上日中間價報6.7736;昨日在岸人民幣16:30收盤報6.7778，夜盤收盤報6.7810，刷新逾六年新低。

4、截至10月27日，上交所融資余額報5121.48億元，較前一交易日增加9.06億元;深交所融資余額報4001.61億元，增加8.42億元，創1月26日以來新高;兩市合計9123.09億元，增加17.48億元。

機構觀點：

國海證券指出，市場情緒高漲，四季度吃飯行情概率較高。目前兩融余額穩步增長，市場交投活躍，情緒高漲;政策面看，四季度深港通和養老金入市對券商板塊形成利好;估值方面，券商板塊整體P/B 2倍，處於中樞位置;博弈面看，基金三季報依然顯示券商板塊配置處於歷史低位，歷史數據看，四季度吃飯行情概率較高，建議加配券商和互聯網金融相關標的。

廣發證券表示，目前需要配置一些防禦性品種，包括食品飲料、醫藥、公用事業等板塊，優選增長確定估值低分紅高的優質個股。另外，三季報披露即將結束，可以開始逢低布局年報行情。年報行情有兩大機會容易獲得超額收益，一是高送轉，其中次新股因高股價低股本高送轉概率較高;二是摘帽概念，部分ST公司因主業提振業績扭虧，年報後將脫星摘帽，重點關註股價低有摘帽預期的公司。

中銀國際表示，目前大盤主要是在3100點上方做反複的小幅震蕩，雖然偶爾出現上沖的情況，但最終還是受到量能的制約而出現高位回落的情況，但隨著擔負的震蕩休整，此時的大盤已經具備了向上沖擊3140點的機會，且從政策和消息面來看，利多的因素似乎更多一些，現在所欠缺的就是個向上發動攻擊的機會，今日周五顯然不是一個最理想的時間節點，但下周一和周三將成為大盤向上的變盤時間節點，只要量能足夠，3140點一旦站穩，3200點就是接下來的目標，此前我們也說過3200不過是個整數位置，實際的壓力並不大，後市關鍵的壓力點位在3300點之上，所以本輪行情如果真的順利推進的話，最低目標位置應該在3300點。

至於向下的調整空間就非常有限了，即使大盤不能夠發動強勢上行攻勢，3080點到3100點之間的支撐帶基本在短期能不會被破掉，相反在大盤逐步靠近3100點的過程中，才是大家逐步逢低加倉和買入個股的時候，只要大家把握好持倉的方向和具備的個股，階段性的獲利其實是很輕松的一件事情。