電商新貴1號店正在遭受史上最嚴(yán)重的用戶信息泄露壓力。5月份的最后幾天，一條“售賣1號店90萬會員信息資料”的消息在業(yè)內(nèi)不脛而走。“買賣1號店會員信息的那個人曾和我接觸過，對方稱所賣的數(shù)據(jù)真實可靠，都是從1號店網(wǎng)站的后臺搞出來的。”熟知此事的速途網(wǎng)副總經(jīng)理王鵬輝對記者說。

用戶信息泄密后，1號店大量會員用戶通過不同途徑反應(yīng)，自己在1號店賬戶余額內(nèi)的資金統(tǒng)統(tǒng)不翼而飛了。賬戶資金被盜是否與90萬會員數(shù)據(jù)外泄有關(guān)？目前，1號店沒有給出任何答案。1號店董事長于剛曾向本報記者表達(dá)過快速擴張的愿景：“2011年1號店的總營收是27.2億元，今年達(dá)到60億元只是時間問題，這兩年肯定會突破100億元。”對于急于擴張的1號店而言，此次數(shù)據(jù)泄露事件將會如何發(fā)酵，是否會影響其擴張計劃，一切都有待觀察。

買了東西丟了錢

“這是我第一次嘗試在1號店購物，但也有可能是最后一次。”5月30日晚，1號店注冊用戶蔣季向本報記者訴說了她的遭遇。蔣季告訴記者，不久前單位給員工每人發(fā)了兩張1號店的禮品卡作為福利，兩張卡中共有700元，5月19日她在1號店下單買了一百多元的東西，賬戶余額還有500多元。

“5月28日，1號店客服突然給我發(fā)了條短信，告訴我賬戶出現(xiàn)異常狀況，懷疑有他人在我的賬戶里下單，就此通告并修改發(fā)給了我新的密碼。但當(dāng)我登錄1號店賬戶時卻發(fā)現(xiàn)，賬戶里的余額早已被人盜用一空，而盜用者的下單日期竟是5月25日，也就是說1號店足足推遲了3天才作出反應(yīng)。”蔣季憤憤地說。

蔣季說，盜用者用她的錢購買東西后寄往了四川省的一個地方。她就此線索向1號店客服進行了投訴。1號店方面稱，曾發(fā)現(xiàn)過她的賬戶有異常情況，當(dāng)時也發(fā)出了訂單攔截指令，但不知道什么緣故，指令最終并沒有生效。

“后來才發(fā)現(xiàn)，不光是我一個人，我的同事幾乎清一色都被盜取了賬戶余額。1號店給我們的反饋是，他們已經(jīng)報警，這個事情要協(xié)商處理，讓我們另等通知，但卻沒有給出任何確切的時間，這不像是解決問題的姿態(tài)。”蔣季對1號店的處理方式頗感不滿。

蔣季和同事的遭遇并非個案，記者在采訪中發(fā)現(xiàn)，近期集中反映賬戶資金被盜的投訴比比皆是，在微博上發(fā)言投訴1號店的不下數(shù)百人，在百度上查找“1號店資金被盜”竟跳出240萬個相關(guān)結(jié)果。

不過，直到5月25日，1號店客服中心才向外界發(fā)布了《防詐騙安全提示》的公告，公告中稱，如用戶發(fā)現(xiàn)個人信息被泄露，請立即向1號店舉報。目前，1號店公關(guān)部人士向記者介紹，公司除向警方報案外，還展開了內(nèi)部自查，不過該人士并不愿意就自查的進展做進一步披露。

可以賠，但別嚷

3個月前，記者曾問過于剛一個問題：“1號店最看重的是什么？”于剛當(dāng)時的回答是：“用戶體驗。”于剛認(rèn)為,規(guī)�；�其實是用戶體驗的副產(chǎn)品，一旦用戶體驗做好了，規(guī)模增長是水到渠成的事。然而，數(shù)據(jù)外泄的不期而至讓用戶正遭受損失，用戶懷疑，1號店的核心價值觀是否落到了實處？目前，1號店已經(jīng)向部分被盜用戶拋出了一份解決方案：即同意賠付失竊余額，但用戶必須簽署《關(guān)于領(lǐng)取1號店墊付款項的確認(rèn)函》。

記者獲悉了該份函件，1號店方面在其中寫道：“近期，因本人（指用戶）在1號店網(wǎng)站上的注冊賬戶被盜，造成賬戶余額損失……雖然本人賬戶被盜是由第三方不法侵害所致，但從客戶滿意度出發(fā)，1號店提出可先行墊付上述賬戶余額損失金額，本人對此表示感謝，并充分認(rèn)同和接受1號店提出的墊付款項……本人對上述事宜予以嚴(yán)格保密，未經(jīng)1號店書面同意，不會向任何第三方披露或提供任何相關(guān)信息，如違反上述約定項，本人將歸還1號店所有墊付款項，并同意支付等同數(shù)量的違約金。”

這一函件正遭到用戶廣泛地質(zhì)疑。王鵬輝對此函件批評道：“要求用戶簽協(xié)議才能賠款，這完全是霸王條款。其實就是你把錢存在他們那里，他們沒有保管好被偷走了，為了不損害他們的名聲，還要求用戶承認(rèn)不是1號店的責(zé)任才賠錢。但1號店本來就有責(zé)任和義務(wù)保管好，丟了就該無條件賠錢。”記者就此協(xié)議賠償?shù)氖马椣?號店發(fā)出采訪要求，但截至記者發(fā)稿前并未得到任何相關(guān)回復(fù)。

信息保護流于形式

經(jīng)歷此劫后，1號店的信息安全、賬戶安全漏洞已完全暴露出來。1號店用戶文林告訴記者，1號店曾要求其將賬號與手機綁定，假如賬戶內(nèi)有超過50元的資金動向，1號店便會向其發(fā)送手機信息和動態(tài)密碼進行確認(rèn)，以保障安全。

“此后我通過賬戶購買了有近200元的商品，但手機從未收到過1號店承諾的動態(tài)密碼。”文林表示。對此，1號店一位客服人員告訴記者，1號店目前已經(jīng)取消了這一服務(wù)，并將標(biāo)準(zhǔn)修改至500元以上才會對用戶進行安全提醒，而修改的理由竟是令人匪夷所思的“為了方便客戶”。

1號店如何維護500元以下賬戶資金的使用安全？該客服人員的建議居然是，可以通過頻繁修改密碼讓外界無法掌握。記者了解到，目前1號店對于賬戶資金的安全措施僅停留在單層密碼保護的狀態(tài)，一些電商所用的諸如U盾衛(wèi)士、動態(tài)密碼計算和登入密�？�，1號店目前均未使用。

而1號店90萬會員數(shù)據(jù)的外泄原因目前也仍是個謎。對此，1號店在接受采訪中始終諱莫如深。中國電子商務(wù)研究中心分析師馮林向本報記者表示，許多電商網(wǎng)站對會員信息資料使用的都是明文而非加密的保存方式，在這種情形下，電商企業(yè)內(nèi)部會有很大的信息外泄隱患。

一位曾負(fù)責(zé)過電商運營安全的行業(yè)人士表示，他曾對市面上泄露的電商數(shù)據(jù)樣本做過分析，結(jié)果顯示，85%的外泄都是由電商內(nèi)部人士自己泄露出來的，僅15%是外部黑客通過電商網(wǎng)站的一些技術(shù)設(shè)計缺陷抓取獲得的。

“絕大多數(shù)電商其實對會員數(shù)據(jù)信息安全的問題并不敏感，特別是快速發(fā)展中的電商，它們的IT部門平日里忙得不可開交，根本沒有多余的精力放在提高信息安全性上。電商技術(shù)部門的絕大多數(shù)開發(fā)人員都擁有訪問后臺會員數(shù)據(jù)的權(quán)限，一些業(yè)務(wù)部門也可以得到這些訪問權(quán)限，這就意味著會員信息數(shù)據(jù)有許多被外泄的可能性。導(dǎo)致這些問題的原因在于網(wǎng)站系統(tǒng)架構(gòu)設(shè)計不合理，在項目初期，技術(shù)部沒有考慮將數(shù)據(jù)訪問層和業(yè)務(wù)層進行分離。”上述人士分析稱。

“許多電商缺少必要的內(nèi)部規(guī)范，不是說公司里什么人都可以看用戶信息，即便是工作需要，也應(yīng)該設(shè)置多層授權(quán)，在接觸數(shù)據(jù)庫時必須要同時有兩人以上在場，便于相互監(jiān)督，企業(yè)還應(yīng)該安裝攝像頭，以避免監(jiān)守自盜事件發(fā)生的幾率。”馮林說。