当当网现部分用户账户余额被盗

　　不少当当网的用户是在收到通知后去检查自己的账户时才发现被盗的。业内人士估计，很可能实际受影响的不止“约百名用户”。

继客户信息遭泄露之后再现部分用户账户余额被盗

　　昨日，当当网(微博)突然向用户发布信息表示，自3月19日起，紧急冻结所有用户的账户余额及礼品卡3天，成为全国零售电商因盗刷而冻结账户的“先行者”。当当网昨日向新快报发来的声明表示，事件源于近日极个别账户被盗，造成少数消费者的账户余额被不法分子盗用，因此做出紧急冻结账户的决定。当当网对外透露，事件只涉及“极少数”用户，并指丢失信息的根源在CSDN(微博)(一个专门面对IT技术人员的网站)。不过，当当网的回应难解用户疑虑。

　　问题1

　　约百名用户被盗，仍属“极个别”现象？

　　昨日，当当网就多位用户投诉账户被盗的事件公开表态，表示在3月19日到21日，紧急冻结所有当当网账户余额及礼品卡。并要求用户在冻结期间修改密码，对发现账户登录异常或账户余额被盗用，消费者可致电当当网客服(400-711-6699)反映。

　　当当网此次采取的紧急冻结账户措施在全国零售电商属首例，虽然当当网相关负责人昨日对记者表示，“目前已被发现的被盗用户数约100个，因此现象只是个别现象”，但从“所有”、“冻结三天”来看，问题应该比较严重。

　　长期关注电商业务的中国政法大学知识产权研究员赵占领就对记者表示，虽然目前采取暂时冻结所有账户，提示用户改密码、报警，措施是比较到位的，“但从另一角度也说明了被盗账户的数量不可能是‘极少数’”。

　　记者也发现，在当当网发布公开声明后，截至昨日傍晚，已有逾100人转发信息，当中不乏刚发现账户被盗的用户。其中，网友“风轻云淡-2011”昨日中午通过微博表示，“刚发现，当当用户密码被盗了，损失500多大元。”网友“CMCC剑客”昨日下午3时表示，密码已经被盗，刚联系当当网工作人员，工作人员已确认有其他人使用其余额进行了几笔购买交易。业内人士表示，由于部分用户并不常查看账户余额及礼品卡，在得知本次事件后估计会去查看，未来发现的被盗用客户有可能还会增多。

　　问题2

　　账户被盗源于去年互联网泄密事件？

　　对于账户余额被盗的原因，当当网的解释是“2011年CSDN互联网泄密事件导致大量账户密码数据丢失，而很多互联网用户习惯在不同网站上使用同一的账户和密码所导致。”也就是说，仅那些在不同网站使用同一用户名与密码的用户才有可能被盗。而当当网的CEO李国庆(微博)也就该事件在微博中表示，“1月CSDN网站几千万用户密码被曝光，窃贼最近在几家电商试用，用盗窃的余额购物。”

　　一位IT从业者对记者表示，当当网所述的情况是有可能的，“因为很多人都会在不同网站上使用同样的用户名与密码，因此不排除其他网站也会相继出现这样的情况。”不过，因此而影响的用户数量并不会很多。

　　他分析道，“CSDN是一个专业技术员才会登录的网站，而当当网是零售电子商务网站，两者的用户群不一样，因此，必须是两者的交集用户才会出现被盗现象；再者，基于一些用户对交易类密码及普通密码的设置不同，一般来说，交易类密码会设置得较为复杂，因此，被盗用的几率是很低的。”在去年底，新快报就曾经刊文《当当网现安全漏洞，或致用户资料泄露》，反映当当网因设计缺陷导致用户地址、姓名及联系方式都暴露于外的情况。对于两者的关联，当当网相关负责人回应表示，“目前调查导致本次事件的原因是CS-DN互联网泄密事件。”上述IT从业员对记者表示，如果涉及的用户数量较少，则当当网所述的原因可成立，但如果涉及用户数量较多，那其所提及的因素可能只是事件根源的一部分，“不排除当当网的数据库被黑客攻击导致资料被泄。”

　　问题3

　　为何发生逾一月至媒体曝光才处理？

　　回顾事件不难发现，当当网用户账户被盗事件并不是最近才发生的事件。记者翻查资料发现，早在3月3日相关盗刷事件就被曝光。当时有用户反映，2月14日查账户时发现余额被盗刷，当时注册邮箱也已经被修改，事件处理至2月24日，当当网客服表示，已经报警方处理事件，建议该消费者自行报警等待，但并不对用户损失做出回应。事件发展至上周，多个用户通过媒体曝光集体账户被盗的现象才得以引起关注。当当网相关负责人对记者表示，“我们也是媒体曝光后才得悉事件，然后着手调查。”

　　当当网昨日通过声明表示，对于冻结之前发生的损失，经审核确认后，将分批给予全额补偿。对已被盗的账户，当当网已报案，将全力协助派出所办案。

　　对于事件责任，赵占领表示，从法律角度说，如果是网站自己没有采取基本安全措施，比如明文保存密码，账户被盗的话，网站是有责任的。但如果采取了技术措施，而被黑客攻击，网站一般不承担责任。不过，若账户被盗之后，网站没有冻结账户、提醒用户、没有采取措施避免进一步损失的话，则要承担连带责任。因此“对于在此前因为账户被盗带来损失的用户，当当网有赔偿责任的”。

　　而若要进一步深究责任，则要看“数据库被攻击与账户被盗、余额被刷的时间间隔，如果是春节前那次数据库被攻击导致前不久的余额被刷，这期间当当网没有采取必要措施比如冻结账户、减少损失，就要担当一定的责任。”赵占领表示。