电商资讯
京东商城购买沃尔玛购物卡遭盗刷 密码安全性引


安全人士认为,短链接外加密码的方式,相对比较安全,不法分子同时猜到链接和密码的可能性小,但通过短信的方式发送给用户,存在很大安全风险。

经过一个半月的协商,9月8日,按照卖家“易点生活旗舰店”的要求,家住上海的于庆兵提交了最后一项证明材料,因沃尔玛电子购物卡被盗刷而损失的2000元终于有了追回的希望。,

时间回溯到7月23日,于庆兵在京东商城的“易点生活旗舰店”购买了两张1000元的沃尔玛电子卡,下单后,他收到了商家发来的两条附有“电子码短链”和四位数字密码的短信。

三天后,他偶然点击两张1000元购物卡的短链,却出现了“电子礼品卡已使用”的提示,通过查询交易明细,他发现两张购物卡均在深圳、东莞被他人使用。

这样的遭遇,让于庆兵感到十分困惑:为何会出现这种情形?购物卡为什么会被其他人盗用?

数十位用户购物卡被异地消费

“易点生活旗舰店”(以下简称“易点”)是数字营销服务提供商——易点生活电子商务有限公司在京东开设的网店,主要出售沃尔玛、e代驾、百草味的购物卡、代金券,公司成立于2014年,注册资金1亿元。

法治周末记者注意到,用户通过易点购买沃尔玛电子购物卡后,会收到一条附有“电子码短链”的短信,其中,500元以上的购物卡还额外带有四位数字密码;用户购物付款时,点击该短信上的链接并输入密码,即可跳转到沃尔玛“电子码扫码界面”,把该条形码交给沃尔玛门店店员进行扫码即可付款。

7月26日,购卡仅三天、尚未消费的于庆兵,发现自己购买的两张1000元购物卡竟然已被他人在外地使用,面对这样的查询结果,他甚是疑惑,“这几天,我没有离开过上海,也从未告诉过别人短链和密码,怎么会在深圳、东莞使用呢?到底是谁盗刷了我的电子购物卡?”

北京用户于欣的经历与于庆兵类似。7月27日,她在易点购买了两张500元、一张200元沃尔玛购物卡,下单后收到了商家发送的三条包含有短链接的短信。次日,她在沃尔玛付款时,发现三张购物卡在发货后,很快便被人在深圳使用了。

记者在采访中了解到,还有很多用户在易点遭遇了类似的情形。截至9月11日,在一个名为“京东易点沃尔玛受害者”维权群内,已有66位用户加入。据初步统计,群内29名用户的沃尔玛购物卡,均在7月24日至8月6日期间被盗用,涉及金额为3.78万元,部分用户已向当地公安机关报案。

双方争议购物卡安全性

购物卡被异地消费后,很多用户认为,其主要原因是“易点”售卖的购物卡未使用复杂、无规律的购物卡长链接地址,而发送了简单、有规律的短链接,从而造成泄露。

以于庆兵的购物卡链接为例,两张购物卡原本的长链接分别为“https://cardup.cn/ZHrK1GVptAY77J9J”“https://cardup.cn/jq769BitDCR9lOv4”,但商家在短信中发送的却是“http://t.cn/RKkwxdb”“http://t.cn/RKkwxeo”短链接格式。

“长链接结构复杂,而短链接只有后几位不同,很容易被不法分子破解。”于庆兵说。

针对用户的质疑,9月8日,易点相关负责人在接受法治周末记者采访时称,以短链接的形式向用户发送卡密是行业内的通用做法,对于大额购物卡而言,一旦密码输错5次,购物卡就会暂时冻结10分钟,购物卡不存在安全问题;小额购物卡则出于便利性考虑,没有配备数字密码。

该负责人介绍,目前根据用户的投诉情况,公司发现此次被盗刷的购物卡80%是大额购物卡,而后台系统未收到密码错误的反馈信息,因此不大可能是不法分子通过试验的方式,破解密码从而盗刷购物卡。

负责人进一步解释,如果短链接安全存在问题,那理论上被盗刷的应该都是没有密码的小额卡;此外,公司系统未受到攻击,因此因安全性问题导致购物卡被盗刷的说法是不成立的,具体原因还需由公安机关作出判断。

由于双方一直未能就购物卡安全性和赔偿问题达成一致,于庆兵曾于7月27日向京东客服提出了申诉,京东的客服回复称已反馈给商家。不过,8月11日,于庆兵发现,这两个还处于交易纠纷状态中的订单,却被系统自动确认收货了,交易状态变更为“交易成功”。这也让于庆兵颇为不满。

9月8日,京东相关负责人告诉法治周末记者,依据京东的收货规则,订单如20天内未确认完成,系统会自动确认完成,如订单未收到货/出现异常,可以联系客服处理。

9月8日,前述易点负责人告诉记者,针对此事,公司已经报警;由于无法确认购物卡是否为本人购买以及是否被盗用,因此,需要用户提供买家收货手机号实名认证资料、购买订单截图、身份证正反面以及报警受理单,公司通过内部核实确认购物卡存在被盗用的可能性,将会先行赔付用户的损失,但仍保留对相关盗用者及虚假投诉用户采取法律措施的权利。

专家建议使用平台客服系统

猎豹移动安全专家李铁军认为,易点这种短链接外加密码的方式,相对而言是比较安全的,不法分子同时猜到链接和密码的可能性很小,“但是易点通过短信的方式发送短连接和密码给用户,这种方式并不安全”。

李铁军表示,短信泄露的渠道有很多,如手机中了木马病毒等,这样短信中的短链接和密码很容易泄露,在技术上存在一定的风险,相对而言,通过电商平台自带的客服系统则更安全。

北京市炜衡律师事务所上海分所高级合伙人邹晓晨认为,易点这种销售电子购物卡的方式存在很大的问题,卡号作为一段数据(无论是否带密码),要从购物卡的发行方发送给易点,易点再以短信的形式发送用户,在这个过程中,每一个环节都有可能产生泄露;而且由于购物卡易于消费的特性,事后几乎难以追踪去向,此外密码只有4位且都是数字,对于多次试错缺乏锁死机制,这也给不法分子的网络攻击和盗刷提供了便利。

网上交易保障中心副主任乔聪军认为,此次盗用虽然集中在大额购物卡上,但也暴露出小额购物卡没有密码的问题,这种情况下,一旦短链接被不法分子获取,就可以很快消费掉卡内的余额。

此外,乔聪军认为,京东作为交易平台,有义务维持交易秩序的正常进行,在订单处于纠纷状态时,平台应当及时冻结相关订单,而不是在争议未处理完时自动确认收货,这样无法保护相关权利人的权益,对于一些特殊情况,平台应当明确处理办法。