11月15日,噹噹用戶張山試着登錄自己的賬戶,結果顯示的卻是一位來自河南的陌生人賬戶。這樣離奇的事情在過去十多天里發生了三次。11月上旬,他登錄自己的噹噹賬戶,結果卻先後莫名其妙地進入到一個廣東人、一個廣西人的賬戶,而且,他為個人賬戶充值的200元也一度不翼而飛。
用戶王可也遇到類似問題,雙十一當天他不吃不喝守候在後台,打算搶券下單,發現不同陌生人購物記錄冒出,聯繫噹噹幾天未果,於是向十多個部門寫了萬字投訴。
令他們倍感困惑的是:明明是要登錄自己的賬戶,怎麼打開的卻是別人的賬戶?自己的賬戶是否也會被人登錄?那麼,個人信息豈不是被人一覽無餘?
《中華人民共和國個人信息保護法》(簡稱個保法)於2021年11月1日起施行,法律明確加強個人信息保護,防止用戶個人信息泄露。此次噹噹平台連續出現多起信息泄露事件,誰該擔責?又該如何避免網絡信息漏洞?
陌生人購物記錄頻繁出現
11月8日,土生土長的北京人張山遇到一件麻煩事,他用手機登錄噹噹網APP后,購物車、歷史訂單居然是一位廣東人的記錄,他居然登錄上了別人的賬戶。退出去后再次登錄,張山打開的又是一個廣西人的賬戶。
那他自己的賬戶去哪了?而且他前兩天剛為自己的賬戶充值200元,自己的賬戶和這200元購書款怎麼會不翼而飛?在疑惑之際,他第一時間聯繫了在線人工客服,並陸續將看到他人購買信息,包括賬號、郵寄地址、書名等情況,通過截圖的方式告知客服,反覆溝通無果。
11月10號,客服打來電話表示是張山通過短信驗證方式,將200元購書款充錯到一個139開頭的手機號關聯的賬戶里。對此,張山莫名其妙,這個139手機號的主人在外地,自己在北京,兩個人素不相識,怎麼會通過139的手機號進行短信驗證登錄?
張山懷疑出現了平台系統故障。客服反覆否認後台出現故障,並要求張山去報警,同時告知他提供截圖不能說明情況,還需要提供視頻。
就在張山準備錄視頻時,張山卻發現自己的賬戶竟然可以登錄了。
但沒過幾天,他的賬戶又開始非正常登錄。11月15日,張山登錄自己的賬戶,結果顯示的卻是一位來自河南的陌生人賬戶,而且,當天他看到這一賬戶里購物車只有58本書,而在11月17日,購物車裡卻變成了60本書,但這幾天里,他並沒有做任何購書操作。
北京用戶張山登錄自己賬戶后看到的河南用戶購書記錄。圖/受訪者提供
張山感到十分疑惑的是,他意外登錄了三個陌生人的賬戶,那麼自己的賬戶是否也會被別人登錄?自己的家庭住址、購買信息等個人隱私信息會不會泄露?
無獨有偶,身處東部某省份的王可反映,雙十一在噹噹網購買商品每次領券下單都會變成其他人的購物車,有時候提交訂單支付時收貨人、地址、電話、所購商品、支付的錢數也變成了別人的,如果支付就相當於給別人付款了,甚至更改密碼都是別人的手機號接收驗證碼,這種情況持續了很多天。
最開始,王可向噹噹官方客服電話、在線人工客服各類渠道反映問題,都無人處理。王可表示,他賬戶一度出現四五個不同賬戶的信息,他聯繫上這些人,發現對方登錄后看到的是他的賬戶。
另一用戶王可和其他賬戶出錯的用戶聯繫。圖/受訪者提供
而且,在溝通過程里,客服人員不承認存在問題,與其發生矛盾和爭執,王可決意投訴維權,向十多個官方和民間組織聯繫,打了幾百分鐘電話,寫下萬字投訴,才有人出面解決問題,要求他卸載原APP后掃碼官方指定二維碼重新下載APP。目前噹噹並沒有明確給出解釋,只向他表示後台代碼太老舊,沒有及時更新過,存在一些技術問題。
王可認為,從他及其所登錄的幾個賬戶情況來看,噹噹存在泄露個人隱私的風險。
客服不承認,平台就沒漏洞?
“我的噹噹用戶中居然出現別人的訂單”“我的收藏時常會顯示別人的收藏”“看到別人用我的賬戶進行交易的訂單”……中國新聞周刊查詢發現,近幾年在百度、知乎以及各類互聯網平台上均有網友反映過噹噹出現賬號錯亂等問題。
在王可與噹噹客服人員溝通時,對方並不承認問題,懷疑這是無中生有,甚至出現情緒對抗,導致他的賬戶解決了四天才正常。目前,他原有賬戶的購物車已被清空,此前購買的多個商品被取消,平台向多人泄露了他的個人信息、電話號碼和居住地址等隱私。
浙江曉德律師事務所主任陳文明認為,這種事情發生后平台應當第一時間自查,是否出現人為泄露風險,或者技術、系統漏洞。
噹噹網對中國新聞周刊回應,經調查,此次事件是由於系統升級中極個別機型在特殊登錄環境下導致出現了一個小漏洞,僅是個案,並非是用戶個人信息泄露問題。目前系統完成升級,bug已修復。
同時,噹噹網表示目前只收到少數投訴。但根據中國新聞周刊統計,此次事件已涉及近10人的賬戶,目前仍有用戶賬戶顯示異常。
“讓用戶報警等行為是一種推辭,如果不止一兩例用戶出現這樣的情況,那就應該是平台造成的問題,可能會是個嚴重的安全事件。”中國電子技術標準化研究院網安中心測評實驗室副主任何延哲說道。
在黑貓投訴上,目前噹噹被投訴最多的就是售後服務態度差、客服完全不作為,此外賬戶被盜、被莫名凍結餘額等情況時有發生。
“這說明平台技術底層做得質量太差,後台可能有漏洞或者承載負荷率較差,就好比一個質量不太好的橋,過10個人可以,過100個人可能就得下去一些人。”北京大數據協會理事紀思亮比喻道,“客服態度比較惡劣,是因為對噹噹來說,很多用戶是在買書,信息泄露之後不會覺得有很大損失,平台的安全自然也不是剛需,所以不着急改變。”
浙江大學計算機科學與技術學院博士生導師張秉晟表示這次事件關鍵點在於客服沒有意識到問題的嚴重,直接把問題擋在自己這一層,最終變成“無頭案”。他猜測噹噹後台數據庫管理出現混亂,運維團隊對基本功能都維護不好,技術能力較弱,這應該不是平台惡意為之,但確實沒有盡到保護用戶信息的義務,後續可能會產生更大的安全隱患。
奇安盤古隱私安全專家分析,這種情況,可能是電商平台在為用戶賬號綁定手機號碼的時候,驗證環節出了問題。現在越來越多的網站、APP支持多種方式進行登錄,如果發生錯誤,可能發生每種登錄方式登錄到的用戶不一致的情況。尤其早期很多網站使用用戶名+密碼登錄,後來需要用戶綁定手機號,如果綁定手機號的過程中,錯誤綁定了另一個人的號碼,而平台又未做充分確認,那麼可能就會出現使用另一個人的手機號+短信驗證碼的方式也能登錄這個賬號的情況。這需要企業根據實際情況進行排查,當然也不排除有其他的一些可能性。
個人隱私裸奔怎麼辦?
近日,《消費者個人信息保護調查報告》數據顯示,五成以上受訪者個人信息曾遭泄露,其中個人信息保管不當和保護意識不強是導致個人信息泄露的主因,商家故意泄露佔比16.84%,電腦或手機被惡意攻擊佔比15.82%,商業販賣所致佔比14.03%。
對於個人用戶而言,奇安盤古隱私安全專家建議用戶在使用網站、APP的過程中,注意個人賬號安全,對於綁定的手機號、郵箱、填寫的密保問題進行確認,以防出現賬號相關問題。同時,個保法明確規定了個人對信息泄露的維權權利。如果用戶發現自己信息被泄露,就可以積極投訴,然後履行個人信息保護職責的部門,就需要接受、處理與個人信息保護有關的投訴、舉報,再去進行調查和處理。
對平台來說,個保法第五章明確了個人信息處理者的義務,其中包括“制定內部管理制度和操作規程”“採取相應的加密、去標識化等安全技術措施”“制定並組織實施個人信息安全事件應急預案” 等,以防止未經授權的訪問以及個人信息泄露、篡改、丟失。
從本次案例來看,奇安盤古隱私安全專家認為的確出現了個人信息訪問控制上的問題。對於收集和處理個人信息的電商企業而言,保護個人信息是平台應該履行的義務和職責。沒保護好用戶的個人信息,就是平台的失職。
噹噹網的安全問題由來已久。2011年,噹噹網被曝出由於設計缺陷可導致用戶資料泄露,2015年,有噹噹網用戶在噹噹網下單買書後僅一天,個人信息就被騙子掌握,被騙走約十萬元。2020年,噹噹曾被工信部公開點名,未完成整改,涉嫌侵害用戶權益,存在問題為私自收集個人信息、超範圍收集個人信息以及不給權限不讓用。
“目前來看,噹噹確實存在信息泄露風險,平台可能不想聲張這回事,外界無法確認是否已造成大面積信息泄露。如果不法分子看到相關信息,可能會出現違法風險。”陳文明分析道。
噹噹內部不具名人士透露,今年雙十一平台銷量比較差,今年披露的戰報也並不涉及增長和成交額,只有書單銷售排行榜。另一位不具名分析人士指出平台走下坡路的時候,在技術方面的投入會越來越少。
張秉晟提出企業要用最大的努力來維護個人信息安全,用戶個人信息被平台收集,未經同意給到其他人,個體是無法解決這類問題的。沒有能力保護信息,那麼平台就不該收集用戶信息。“企業本身沒有動力做安全建設,法律法規就是來保護消費者,保護弱勢群體的。當然,具體的執行條例還沒有完全落實,隱私保護還有很長的路要走。”
首都經貿大學大數據與統計科學研究院院長紀宏表示,現在數據產權界定不夠明晰,公司數據很多來自個體,使用得當可以帶來效益,使用不得當可能帶來巨大損失。對於惡意利用數據產生暴利的行為,要嚴厲打擊。
段和段律師事務所合伙人劉春泉提到:“未來數據越來越重要,很多企業也越來越重視數據安全問題,違規企業可能面臨高額罰款。用戶信息的泄露並不是小事,涉及到背後很重要的法律問題。目前消費者處於十分弱勢的地位,平台自身要加強自律,相關部門也要加大監管力度。”
(張山、王可均為化名)