據中國之聲《新聞縱橫》報道,在網路時代,用戶最擔心的是什麼?一定是個人資訊的洩露,資訊的洩露往往會帶來財産的損失。近日,北京的一位趙女士在網上通過支付寶購物的時候就遭遇了一場精心設計的騙局。騙子利用掌握的詳實的個人資訊,冒充賣家來騙取趙女士信任,誘騙她一步步跌入陷阱導致損失了7000元。
兩天前,北京的趙女士像往常一樣登錄淘寶進行購物,但沒想到,卻遭遇了一場騙局。
趙女士:可能是零點剛過的時候我在網上買了東西,我當時是有兩筆,一個包和一個衣服是合併付款了。然後我第二天早上還特意上去看了一下,我看看有沒有發貨,然後這個包就發貨了,這個外衣就沒有發貨,這也是很正常的查詢的狀況。結果到下午的時候,接到了一個131的陌生電話,他就冒充是男裝的商鋪。然後説您是不是昨天晚上在我們這買了一個什麼樣的衣服,説您那個定單卡單了,定單出現了異常,説我們這邊沒有辦法給您發貨,然後我當時就想是不是付款有問題,我説我已經付款成功了。而且我收到了銀行扣款的記錄,然後他當時就説那我們再查一下,然後就把電話挂了。挂了過了幾分鐘,又打過來説,我們查了一下這個定單還是有問題,我們還是不能給你發貨。説要不然您這樣,要不我們給你辦理退款,然後你再重新拍,我説那也行。
起初對方的舉動並沒有引起趙女士的警惕性。趙女士説,因為對方能夠準確講述自己的個人資訊,她才打消了的疑慮,相信了對方“付款沒有成功的謊言”。
趙女士:平時買東西我覺得遇到這種情況也沒有什麼特別的,而且他什麼都知道,初期跟我了解到的都是完全符合,哪個發貨哪個沒發貨,所以當是就完全沒有警惕性。
為了再次退款,趙女士按照對方發來的網址進行了操作。趙女士依次在網站上輸入了自己信用卡的卡號、密碼等資訊,但趙女士輸入驗證碼時總提示沒有成功。
趙女士:但改過來之後再點驗證碼點不上了,他説要不然你這樣吧,你把卡號告訴我我這邊給你手工操作,然後就把卡號告訴他,然後我這邊輸驗證碼還是不成功,他説我這邊幫您手工操作。然後説我收到驗證碼之後告訴他,然後他那邊幫我操作,然後我就告訴他了。
隨後趙女士的手機先後收到3筆消費記錄,每筆都是2000元。恍然大悟的趙女士立即向警方報案。
趙女士:然後他這邊刷完之後我挂了他的電話,我馬上就給銀行打電話,因為我當時就已經感覺不對勁了,我就讓他給我查這筆交易是怎麼回事,然後銀行説,已經交易成功,實際扣了款的。
回想整個事件,除了懊悔自己疏忽大意,趙女士也有一個疑問。
趙女士:我的資訊怎麼會洩露出去的,因為這個所有過程的根源就是因為,一個電話過來他説他是商鋪,而且我所有的購買行為,我的時間,我購買的東西這些資訊他都了解,包括我的姓名他都知道。才會放鬆警惕的按照他的進一步的指揮去做。
這的確是挺可怕的,騙子再高明也不能知道這麼多的資訊,而且趙女士的這種遭遇並非個案。確實現在很多人尤其是年輕人,大量的使用像支付寶這樣的第三方支付平臺,去進行交易、付款甚至是理財。我們十分擔心我們的這些個人資訊是否能夠遭到洩露。2013年-2014中國網際網路安全研究報告的調查顯示,在不同類型的釣魚網站當中,與網購有關的釣魚網站比例達到了47%,成為佔比最大的釣魚網站類型,那麼一個疑問就是釣魚網站的騙子們是如何獲得消費者個人資訊的呢?支付寶公關部工作人員朱健這樣分析:
朱健:這個欺詐分子他可能會在淘寶上會去看一些購買的記錄,然後看到一個比如説某某某有一筆購買的記錄,所以説他有可能就偽造成買家,跟賣家講我説那個某某某,我要確認一下我之前留的那些資訊對不對,説有可能留錯了你把那個資訊給我一下,有些賣家比如説沒有注意的話,他可能就直接把這個購買的記錄就貼給他了,這個時候騙子就拿到這個資訊以後就偽裝成賣家。然後去打電話給真正的買家。
但是,在大量的受騙案例中,恐怕利用朱健所説的這樣方式獲取用戶資訊,並不是一個成功率很高的方法。因為每一個可能有相關意識的朋友,都會有一些謹慎的防護措施。而且這樣回應多少有些推脫責任的嫌疑。那作為用戶資訊的存貯平臺,支付寶又是如何保護用戶的資訊呢?
支付寶:對於數據的分級,相關數據平臺可能是一個完全獨立的一個環境,它跟其他的網路作一個隔離,包括對於敏感數據的脫敏的一個處理,所有的敏感資訊都是隱藏處理的,包括是説內部人員都是沒有辦法直接看到的。
支付寶對於個人資訊的保護措施是自信,但在中國網際網路協會政策與資源委員會專家成員于國富看來,僅擁有自信是不夠的,目前的網際網路技術沒有絕對的安全,"道高一尺,魔高一丈",不排除某些不法分子擁有超前的犯罪手法。
于國富:目前的網際網路技術遠遠沒有做到絕對的安全,再好的網際網路資訊平臺也可能會隨著時間的推移出現漏洞,甚至也有可能在駭客的攻擊之下而出現被攻破的可能性,那對於平臺由於疏于管理而出現漏洞導致個人資訊的洩露,平臺方應當承擔責任。
除了預防外部駭客的攻擊之外,又該如何防範內部員工的監守自盜呢?近日,支付寶承認,他們的前技術員工李某盜取了海量的支付寶用戶資料,並多次出售給電商公司、數據公司。此消息一齣,讓人不禁擔心,我的資訊是不是也在被販賣的行列當中呢?如果因此造成的損失,誰又該為此埋單呢?
北京惠誠律師事務所律師趙佔領認為,支付寶用戶與支付寶公司之間,存在一種服務合同關係。支付寶公司,應該保證用戶的資訊安全,包括財産安全。如果因為支付寶的技術措施或者管理措施有漏洞,導致用戶的資訊被洩露,甚至造成進一步損失的話,支付寶應當向用戶承擔違約責任,賠償經濟損失。
北京市律師協會消費者權益法律事務專業委員會主任邱寶昌也有著同樣的觀點。
邱寶昌:09年我們對新法修正案提起了修整,就是洩露個人資訊,或者把個人資訊販賣情節嚴重的要追究他3年以下的有期徒刑,我們新的消法第29條,對經營者收集使用消費者個人資訊,應當遵循合法正當的原則,對蒐集使用資訊的目的、方式和範圍等等都有相關的規定,包括你使用個人資訊,如果不當造成損失要承擔責任。再有一個就是要明確規定經營者及其工作人員,對蒐集的消費者資訊必須嚴格保密,不得洩露,這實際上關係著你的法律責任,還有一個,有的經營者應當採取技術措施和其他必要措施確保資訊安全,比方説你的員工洩露了,你加沒加密,你採取沒採取技術的防範,現在我們新的消法有規定,如果説經營者在經營過程當中蒐集的個人資訊保管不當,沒有加以嚴格保密,洩露了,自己的工作失誤洩露的,或者是自己的工作人員去販賣資訊的都要承擔相應的責任。
到目前我們也不知道趙女士個人資訊的洩露屬於內部員工監守自盜還是外部駭客的惡意攻擊,這還需要警方的調查和支付寶的進一步舉證説明。但不容置疑的一點是,當用戶為資訊洩露而造成的損失自行埋單之後,當這種埋單逐漸成為常態的時候,誰還能將隱私放心的託付他人呢?用戶與電商之間的信任鴻溝又該如何填平呢?(記者韋雪)
[責任編輯: 林天泉]