唯品会用户信息泄露 半个月内16人遭骗18万元

25.03.2016  17:48
唯品会用户信息泄露 半个月内16人遭骗18万元 - 新浪广东
唯品会用户信息泄露 半个月内16人遭骗18万元 - 新浪广东
来源: n.sinaimg.cn

  身处互联网时代,只需点点鼠标,用不了多久,你要的东西快递员就会送到你门口,然而便捷的同时,也会有陷阱。近日,消费者马梦晗在唯品会上购买了两件衣服,却接到对她信息了如指掌的假客服电话。按照假客服的指导,一步步进行操作,银行卡被转走9668元。而她的遭遇并非孤例,仅从2月28日至今,她就发现另外15个同样被骗的人,她们怀疑自己的信息被唯品会泄露了。

  一通电话3个验证码 9668元没了

  宁夏银川的马梦晗,是个已经怀孕五个月的准妈妈,按理来说本应该在家安心养胎,可她这几天却一直盯着手机看,微博、贴吧、QQ群来回切换,因为她的银行卡里莫明其妙少了9668元。

  时间回到2月29日晚上,马梦晗准备买一些母婴用品,“想着唯品会的品质应该更好一些,毕竟是母婴用品”,所以就选择在唯品会上购买。在这之前她一直在淘宝上买东西,唯品会还是第一次。次日上午,她又下了一单,加上29日晚一共下了8笔订单,包括母婴的护肤品、营养品等,总计1539元。当时,支付页面也显示支付成功了,只是还没有发货而已。

  晚上8时40分时,马梦晗接到一个归属地为浙江杭州的陌生电话,电话那头自称是唯品会的客服工作人员,说“您在唯品会的一笔订单由于交易时系统延时造成交易失败,货品卡在物流处无法投递,现在需要您配合完成一些操作,先退款到您的个人账户,再重新提交订单,以保证货品的顺利投递”。

  马梦晗有些迟疑,但对方马上说出她的订单号、收货地址以及购买的是什么东西。由于第一次在唯品会上购物,马梦晗来不及多想,就根据对方的指导,加了一个名为“唯品会订单处理中心”的QQ账号。

  紧接着,对方通过QQ发来一个名为“wogostKAz”的链接,打开之后登录唯品会账户和密码,便跳转到唯品会退款中心,这个页面跟唯品会官方页面一模一样。按照“客服”的要求,马梦晗在页面上输入自己的姓名、银行账号、密码、网银登录密码、银行预留手机号。填完这些后,要再填一个验证码,验证码框下红字提示:“该验证码由系统发送请耐心等待,短信显示金额为1-99999该金额为银行虚拟金额,不造成扣款!

  在等待验证码的间隙,“客服”还不断安慰她说“本次退款带给您的不便,稍后会在账户返还唯品会100元购物券以及商品88折的优惠活动来弥补”。随即,“客服”又以退款客户过多导致系统延迟为由,要求马梦晗将短信收到的验证码口头报给他。马梦晗收到验证码之后,告诉他了,他却说因为超时验证码已失效,系统会再发一个验证码,说着她又收到一个验证码,就立即告诉了他。

  就在这时,马梦晗又收到两条分别为4700元和4968元的扣款信息,账户余额减少了9668元。她才意识到自己上当受骗了,而对方此时已经挂断电话了。马梦晗立即将银行卡挂失,并到当地派出所报警,那位“客服”的电话再也打不通了。

  受骗的不止一个 半个月16人中招

  马梦晗在微博上吐槽自己的遭遇,没想到跟她有同样遭遇的人不在少数,仅在半个月内,能联系到的就有16个受骗的人,她们总共加起来被骗取180307元。

  也是2月29日这一天,在广州做教育培训工作的徐小姐,接到一位自称唯品会客服的电话,对方说她在唯品会上购买的短上衣和针织套装出现一些问题,需要退款重新提交订单才能正常发货。看到来电显示是广东广州的号码,徐小姐便质疑“你是工作人员不应该使用公司的座机号吗?为什么要用手机”,而对方称他是专门负责广东这片区域问题订单的工作人员,所以并没有用座机。为了打消徐小姐的疑虑,该“客服”将她的唯品会账号、密码、订单号、收货地址甚至衣服的型号发来了,让她进行核对,“我一看都是正确的,就暂且相信了”。

  接着就跟马梦晗被骗的过程一样,在输入三次验证码都显示错误后,徐小姐的收到一条农行卡的扣款信息,卡内的999元一下被扣光了。“我当时就特别着急,怕被骗了,就问‘客服’为什么扣钱了”,该“客服”则解释“扣钱只是验证该卡能否交易,稍后会一起转给你,不过因为你已经输错三次验证码,我们系统自动将你的农行卡锁定,现在你只能输入另一张卡,我们才能将货款和扣款一起退给你。

  然而最终没有收到“客服”所谓的退款信息,反倒是招行客户服务中心打来电话,提醒她的信用卡有两笔异常扣款,这两笔都是448元,徐小姐这才恍然大悟,她被骗了!

  在马梦晗组建的唯品会维权群里,被骗的还有云南昆明的何女士、辽宁铁岭的杨小姐等其他14个人,她们最多的被骗43000元,最少的也有400块钱。

  是谁泄露了客户信息?

  在QQ群中有人倒卖

  30元可买10条信息

  什么情况下会导致商业网站的客户信息被泄露?记者就此问题咨询了一家公司里负责客户信息管理的技术人员。他称,一方面商业网站可能出现系统漏洞,被不法分子发现后就可盗取客户信息,另外商业网站中能接触到客户信息的工作人员,也有可能将客户信息转卖出去;另一方面,用户的电脑或手机被植入病毒也可能导致信息被人截取。他还提到,黑客通过“撞库攻击”方式也能获得客户信息。

  而马梦晗则将矛头直指唯品会:“在别的网站买东西好好的,在唯品会下单不到一天就接到骗子电话,而且我们8个人都是这种情况,很难让人不怀疑是唯品会泄露的。”她这么怀疑还有一个理由,因为她在一个名为“各种数据群”的QQ群买到了唯品会的客户信息。

  记者加进这个群,成员有81人,里面不时会发一些买卖的信息。当记者发出有购买需求的消息时,立马就有人回应,声称有各种网站的客户信息可供购买。而马梦晗是在一个QQ号名为“一如既往”的人手中,以3元一个的价钱买到了10个唯品会客户信息,这些都是3月7日上午7点左右在唯品会下单的客户。购买到的客户信息,包括客户的订单号、交易时间、姓名、电话、收货地址以及购买的是何种货品。

  在跟“一如既往”交流时,他称:“已经做了几年了,客户信息由唯品会内部人员长期提供,你用了就知道。”在马梦晗向其提供的支付宝转账30元之后,“一如既往”就发来了10个客户信息的名单。

  根据马梦晗购得的这份唯品会顾客信息名单,记者以唯品会客服的身份,给重庆市的李小姐打了电话,名单上李小姐购买的物品、手机号码、购买时间收货地址,都可以一一对上。直到记者说出真实身份时,她才惊讶地说:“不可能吧!你怎么能知道我的信息?

  随后,记者按照数据单上的信息,一一跟他们核实了相关信息,除了一人电话关机不能肯定外,其他数据贩子所卖的信息,全部属实。

  被骗的钱该如何讨回?

  律师

  如果确系电商内鬼所为

  电商承担单位赔偿责任

  马梦晗得知被骗后,立即去了当地公安局派出所报案,并得到受理,不过派出所建议她去唯品会的所在地报案。因报案必须本人到场,马梦晗又拨打12345市长热线进行反映,工商局稍后回应称:“最近接到很多唯品会泄密的投诉,因此已经把这类案件转给了广州市荔湾区公安分局进行处理,建议她有什么信息可以向荔湾区公安分局提供。”身在广州的徐小姐拿着相关资料,向唯品会所在的荔湾区花地派出所报案,不过警方表示需要一星期后才能确定是否立案。

  曾代理京东泄密事件的张新年律师,在接受记者采访时表示,商业网站要承担保护客户信息的责任,“现在唯品会这么多用户的个人信息泄露,显然是平台存在漏洞,但没有及时处理,也没有技术方面的防范措施。这就相当于去酒店,在地板上滑倒摔伤了,如果你有提示说这里路滑小心,那酒店就免责了。”记者在唯品会网站上看到,在付款之后并没相关的安全风险提示,而同类型的淘宝和京东均有此类提示。

  张新年认为,案件未破获之前,不排除电商出了内鬼。涉案电商应自查,工商部门、电信管理部门等应开展行政调查,公安机关应刑事立案侦查。“如果确系电商内鬼所为,则涉案员工涉嫌非法获取公民个人信息罪。而对网购消费者的民事赔偿上,则由电商承担单位赔偿责任。

  其实随着网络购物的迅猛发展,因网购发生的用户信息泄露及诈骗案件也是层出不穷。2015年4月份,上百人在京东网购后遭诈骗,他们也怀疑是京东泄露了信息,该事件经报道后引起强烈反响,最终由京东出面“垫付”客户损失而收尾。

  唯品会回应:

  客户信息都会加密

  报警处理我们配合

  记者就此事致电唯品会公关总监陈菲菲,她称唯品会非常重视维护消费者购物的信息安全,而且对客户信息都进行了加密保护,采用符合国家安全法例的措施,确保客户信息资料安全。不过当被问及唯品会做了哪些措施来维护客户信息安全时,她并未正面回应。她还表示:“消费者如果遇到网络诈骗,建议第一时间报警处理,我们将积极配合警方进行调查。

  她提到不法分子通过“撞库攻击”的方式,也能获得客户信息。这种方式就是黑客通过收集其他网站已泄露的用户和密码,生成对应的字典表,然后去尝试批量登录其他商业网站。不少人为了方便记忆,在不同的网站都使用同一套账户密码,一旦某一个网站的账户密码被泄露,其他网站都可以用这套账户密码登录进去,客户信息自然一览无余。而这种方式唯品会阻止不了,张新年律师也说如果是“撞库攻击”导致的泄露,唯品会并没有责任。

  目前,唯品会方面已经拿到受骗人的订单信息,称需要核实他们是否在唯品会上购过物,并着手进行调查,不过截至记者发稿时,唯品会方面仍然没有相关回应。