剛剛過(guò)完的“雙十二”成為繼“雙十一”之后的“網(wǎng)購(gòu)小盛宴”，讓“剁手黨”們?cè)俅闻d奮不已。然而，近日360“補(bǔ)天”漏洞響應(yīng)平臺(tái)曝出近200家網(wǎng)上商城存在信息漏洞，隨之而來(lái)的是網(wǎng)上詐騙、騷擾電話、惡意郵件等惡劣行為，不僅煩擾人們的日常生活，更威脅著財(cái)產(chǎn)安全。記者采訪了解到，不少消費(fèi)者紛紛中招。

　　網(wǎng)上商城成信息泄露“重災(zāi)區(qū)”

　　據(jù)360“補(bǔ)天”漏洞響應(yīng)平臺(tái)披露，“雙十二”期間不少網(wǎng)上商城、賣家網(wǎng)站存在安全漏洞且因遭到黑客攻擊而導(dǎo)致信息泄露。

　　實(shí)際上，存在漏洞的網(wǎng)站平臺(tái)并非僅在“雙十二”被暴露的數(shù)家網(wǎng)站。據(jù)“補(bǔ)天”漏洞響應(yīng)平臺(tái)統(tǒng)計(jì)分析，今年年初至今，已有近200家網(wǎng)上商城或平臺(tái)被曝出存在安全漏洞而導(dǎo)致數(shù)據(jù)庫(kù)信息被竊取，其中多家網(wǎng)站泄露的用戶信息達(dá)到數(shù)百萬(wàn)條，最多的甚至達(dá)到上千萬(wàn)條。

　　網(wǎng)上商城用戶信息與其他類型網(wǎng)站不同。由于購(gòu)物需要，用戶必須在網(wǎng)站預(yù)留姓名、手機(jī)號(hào)碼、地址等多個(gè)真實(shí)信息，甚至涉及銀行卡、身份證等敏感信息，這些信息的泄露會(huì)直接導(dǎo)致消費(fèi)者頻繁收到推銷廣告電話、短信或郵件的騷擾，更為嚴(yán)重的則是消費(fèi)者較易遭到網(wǎng)購(gòu)詐騙。

　　剛從海外回國(guó)的小龍近期在北京辦了新號(hào)碼，還沒(méi)有用幾天，知道她手機(jī)號(hào)的人也不多，只是在網(wǎng)上買過(guò)幾次東西時(shí)注冊(cè)過(guò)號(hào)碼信息，最近總是收到莫名其妙的服務(wù)短信和推銷廣告，屏蔽一個(gè)號(hào)碼又有其他號(hào)碼發(fā)過(guò)來(lái);在北京工作的小鐘也遇到過(guò)類似煩惱，她告訴記者，“在幾個(gè)護(hù)膚品官方微信用手機(jī)號(hào)注冊(cè)會(huì)員后，第二天就接到了美容院的電話?！?

　　有過(guò)與小龍、小鐘類似經(jīng)歷的人不在少數(shù)。然而，相比之下，網(wǎng)購(gòu)詐騙造成的損失更大。

　　家住北京市朝陽(yáng)區(qū)的李女士近日接到一個(gè)顯示為“京東客服”的電話，一名自稱是客服人員的男子告訴李女士，“京東”將他的購(gòu)物信息誤操作成分期付款了，稍后會(huì)有銀行的工作人員跟其聯(lián)系。而在接到一個(gè)冒充招商銀行工作人員的電話后，李女士按照對(duì)方要求進(jìn)行“驗(yàn)證”操作，結(jié)果網(wǎng)上銀行被盜取了一萬(wàn)多元。

　　信息泄露難溯源成舉證大難題

　　在360“補(bǔ)天”漏洞響應(yīng)平臺(tái)上，記者看到，遭到泄露的用戶信息一覽無(wú)余，包括收貨人姓名、手機(jī)號(hào)、訂單號(hào)、收貨地址、發(fā)貨時(shí)間等所有精確信息。

　　業(yè)內(nèi)專家認(rèn)為，正是由于對(duì)方掌握用戶的真實(shí)、全面的個(gè)人信息，甚至包括訂單等所有購(gòu)物記錄，更有利于其“有的放矢”，且詐騙的成功率很高。

　　360安全專家鮑宇指出，在雙十一、雙十二、節(jié)慶日等電商促銷季，由于消費(fèi)者集中多次購(gòu)買商品，這些時(shí)期也成為黑客集中攻擊網(wǎng)上商城、竊取信息以及有針對(duì)性地實(shí)施詐騙的高峰期。

　　鮑宇指出，弱口令漏洞、注入漏洞和越權(quán)漏洞等這三種漏洞較為普遍，黑客可以通過(guò)匹配密碼、修改網(wǎng)站ID號(hào)、構(gòu)造惡意命令等方式輕易獲取網(wǎng)上個(gè)人信息。而且，只需要在網(wǎng)上下載一些工具就可以直接用來(lái)制造這些漏洞。此外，由于微店、O2O平臺(tái)、APP等網(wǎng)購(gòu)模式的興起，安全漏洞也同時(shí)存在于這些平臺(tái)。

　　盤古團(tuán)隊(duì)安全專家小G等多位業(yè)內(nèi)人士表示，網(wǎng)絡(luò)購(gòu)物過(guò)程中多個(gè)環(huán)節(jié)都可能造成信息泄露，包括賣家、平臺(tái)、快遞公司等，而信息溯源也成為很大的難題。其中，中小型電商平臺(tái)和賣家成為信息泄露的“重災(zāi)區(qū)”，主要因?yàn)槠渥陨砣狈Π踩ㄔO(shè)的能力和技術(shù)且由于泄露的信息涉及用戶而非賣家平臺(tái)本身，因此其修復(fù)漏洞的積極性很低，用戶信息安全存在很大風(fēng)險(xiǎn)。

　　此外，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)信用評(píng)價(jià)中心法律顧問(wèn)趙占領(lǐng)則指出，在處理信息泄露時(shí)間的實(shí)踐過(guò)程中最大的困難是舉證，網(wǎng)購(gòu)涉及的環(huán)節(jié)和主體多，很難證明用戶遭受的損失與某網(wǎng)站信息泄露直接相關(guān)。

　　多方主體各盡其責(zé) 最大限度降低安全風(fēng)險(xiǎn)

　　業(yè)內(nèi)專家建議從企業(yè)、消費(fèi)者、行政監(jiān)管等多層面盡量降低信息泄露的風(fēng)險(xiǎn)和危害。

　　趙占領(lǐng)表示，根據(jù)相關(guān)法律法規(guī)，網(wǎng)絡(luò)信息服務(wù)商收集用戶信息必須遵循正當(dāng)、合法、必要的原則，此后的使用和保管必須盡到安全保護(hù)義務(wù)，保障用戶數(shù)據(jù)更新安全。如其主動(dòng)泄露則涉及刑事犯罪，而對(duì)于因管理或技術(shù)漏洞導(dǎo)致的信息泄露，網(wǎng)站則需要向用戶承擔(dān)違約賠償責(zé)任。

　　“另一方面，目前行政監(jiān)管缺位，監(jiān)管主體不明確，導(dǎo)致網(wǎng)站因信息泄露而遭到行政處罰的案例實(shí)際很少。要對(duì)用戶維權(quán)提供更多的法律支持，比如由網(wǎng)絡(luò)服務(wù)提供者承擔(dān)舉證責(zé)任，如若不能提供則要負(fù)相關(guān)法律責(zé)任。”趙占領(lǐng)說(shuō)。

　　警方則提示，消費(fèi)者要按照正規(guī)購(gòu)物網(wǎng)站的流程，不要輕信陌生來(lái)電或網(wǎng)站鏈接，且不輕易泄露驗(yàn)證碼等信息。

　　安全專家余弦、鮑宇等多位人士指出，網(wǎng)站或平臺(tái)應(yīng)增強(qiáng)自身網(wǎng)絡(luò)安全的意識(shí)和能力，不具備相關(guān)能力和技術(shù)的企業(yè)可與第三方平臺(tái)合作。而消費(fèi)者應(yīng)選擇較大的平臺(tái)進(jìn)行購(gòu)物，不要在過(guò)多的網(wǎng)絡(luò)平臺(tái)注冊(cè)或購(gòu)物，在網(wǎng)購(gòu)填寫訂單時(shí)應(yīng)盡量避免預(yù)留真實(shí)完整的信息，如使用昵稱、阿里小號(hào)、代收點(diǎn)地址等。