1号店90万用户信息500元叫卖:大部分数据真实

每经记者 蒋佩芳 发自上海

“1号店”等用户信息泄漏,再次拷问互联网安全问题。从一份“1号店”90万全字段的用户信息资料上,《每日经济新闻》记者对上面的用户信息进行了一一验证,结果表明大部分用户数据属真实信息。

IT法律人士赵占领对此称,此事涉及到“1号店”客户账户资金提现的安全问题。

500元甩卖90万用户信息

昨晚,《每日经济新闻》记者联系上了向微博用户“挨踢客”兜售用户信息的卖家。该卖家表示目前自己手里有“1号店”截至2011年7月90万全字段的用户信息,包括手机、订单金额、地址、邮箱等等,价格是500元。

上述卖家告诉记者,他的价格已经非常便宜,如若不是急用,不会如此低廉。他表示记者可以多方询价,相比其他卖家开出的3000元~5000元的价格,这个价格已经非常便宜。为了表明数据确实无错,该卖家向记者发送了其中一份用户信息,信息非常全面。

“1号店”公关总监梁燕在接受《每日经济新闻》记者采访时表示,针对用户信息被泄露的问题,“1号店”内部已经在进行调查,具体什么原因暂未得知。“1号店”也与有关方面做了报备,会有人员过来调查。

梁燕称“1号店”正在冻结有金额用户的账户。系统一旦发现其账户有金额,第一时间会做冻结处理,随后会提示用户验证身份。在用户重设密码、重设邮箱后才会解冻用户的账户信息。

泄漏资料令用户险遭骗

“1号店”的用户邹女士,已经经历了一次信息泄漏风波。

邹女士告诉 《每日经济新闻》记者,她于3月11日在“1号店”帮朋友代购商品,当时不清楚详细地址,就写了一个“周一填写”,在未付款的情况下,“1号店”的这份订单并没有生效。3月12日,邹女士继续未完成的订单支付却忘了填写详细地址,依然是“周一填写”。

“由于当时地址没填写完全,最后送货时是与快递员沟通详细地址,才将货送达朋友处。”邹女士进一步补充。

两月后,邹女士的朋友于5月22日,接到自称是“1号店”客服电话,称由于邹女士朋友之前在“1号店”消费过,要寄一张VIP会员卡。但是,“1号店”所记录的地址是“周一填写”,希望邹女士的朋友把详细地址告诉客服,以便寄送礼品。

邹女士的朋友并未意识到用户信息泄漏,于是将详细地址告知对方。5月23日,邹女士的朋友正在外面办事,快递人员将包裹送到公司,同事帮其代付了“货到付款”298元。邹女士的朋友回公司得知此事,当即与“1号店”客服联系。因为之前“客服”并没有说需要货到付款,然而“1号店”客服告诉他没有赠送VIP会员卡的活动,更没有货到付款的礼品,邹女士的朋友方知上当受骗。

5月23日,邹女士和她朋友分别致电“1号店”客服,希望能够讨要一个说法但未果。随后,邹女士的朋友紧急联系承运的快递公司,在该快递公司的帮助下,5月24日追讨回被骗的298元。

邹女士表示,朋友的信息肯定从“1号店”泄漏出去。因为,只有在“1号店”购物的时候,把地址填错成“周一填写”。“1号店”至今未有说法,也未与她进行过联系。

对此,梁燕表示并不知情,称尚需与相关部门核实。

电商企业无过错需自证

“‘1号店’的事情比较特殊,涉及账户资金提现的安全问题。”IT法律人士赵占领表示,电商企业与用户之间通过用户协议建立了服务合同关系,电商企业需要尽到基本的信息安全保障义务。若没有尽到这些义务导致用户注册账户被盗,应该承担违约责任。

赵占领称,注册账户内的资金需要采取更加严格的安全措施,比如手机绑定验证,资金提取原路返回,否则需要进一步的验证等等。

他表示,从法律上来讲,盗窃账户及资金的违法分子承担直接法律责任,而网站是否承担责任,主要看是否尽到上面提及的义务,是否有过错这方面,主要靠电商企业举证。

赵占领认为,邹女士这种情况涉及诈骗犯罪,网站是否有责任,主要看是否有过错,是否采取了基本的安全保障措施。比如防火墙、加密保存用户资料、安全防护等级是否符合法律规定等等。由于用户没有办法拿出这些证据,也需要网站自证没有过错。