不要再让iso27001认证体系形同虚设

  网站账户里原本应有的礼品卡和余额不翼而飞，而用户绑定的手机却从未收到过任何提示短信。

　　近日，当当网[微博]用户何丽就遭遇了上述事件。虽然根据当当网客服人员的说法，这是邮箱密码泄露所招致的被盗，不过对于这样的回应，何丽并不能接受。她认为，明明自己已经绑定了手机号，黑客却仅凭邮箱就变更了资料并窃取了账户金额，也就是说，手机号绑定这一安全措施形同虚设，难道当当网没有一点责任？
　　“不排除当当网在安全认证逻辑上存有瑕疵。”业内人士告诉法治周末记者，尽管互联网企业难以保障(起保障作用的事物)绝对的安全，但是在网络安全事件频发的大背景下，作为互联网服务(fú wù)提供商，应该在现有认知水平范围(fàn wéi)内认真梳理公司的安全保障机制，这是对用户应尽的保护义务。
　　礼品卡和现金余额都不翼而飞
　　5月27日，来自广州的用户何丽在登录当当网时，网站提示：账号密码错误。起初，何丽以为是两个月未登录该账户，忘记了密码，便通过当初认证的邮箱上尝试找回密码。
　　不过，当她找回密码重新登录后，却发现自己在当当网账号下的原有礼品卡余额由应有的359元变为0，原先的订单信息也全部消失。ISO13485认证其作用于人体体表或体内的主要设计作用不是用药理学、免疫学或代谢的手段获得，但可能有这些手段参与并起一定辅助作用。“我的账号虽然还在，但却已经变成了空账号。”
　　5月28日，何丽联系当当网客服人员，要求由其查证被盗原因并恢复自己账号中的资料。随后，客服人员告知其账号被盗的原因是何丽自己的邮箱账号及密码被盗，何丽账号下的用户名、预留的手机号码已统统更改为她不认识的号码和资料。
　　在何丽的要求下，当当网客服帮助其将自己原来的资料移动到新注册的邮箱底下。重新进入原有账户后，何丽发现，账户原有的15元现金也被消费完。
　　依照订单显示的详情（particulars），所购货品为两包婴儿纸尿片，寄送到深圳的某一地点，订单中显示有手机号，不过何丽拨打过去却显示为关机状态。
　　其实，此次并非当当网用户第一次遭遇盗号事件。早在初，当当网就被爆出大量用户账号被盗。当时，当当网对媒体给出的解释是源于CSDN[微博]网站数千万用户密码被泄露。
　　年底，程序员网站CSD
　　N、天涯社区出现大规模的用户数据泄露事件，超过5000万个用户账号和密码在网上公开扩散。由于非常多用户习惯在不同网站使用相同的账户密码，给不法分子留下了可乘之机。不仅当当网被波及，京东、一号店等电商也集中爆发礼品卡盗刷事件。
　　年3月，当当网再次被爆出用户账户余额被盗事件，当当网对此发布公告称，此次账号余额被盗事件是由于其WAP端存在安全漏洞所引起的，当当也承诺由此造成的消费者（Consumer)损失，会由公司(Company)先行赔付。
　　此次何丽在发现账号被盗后，在向警方报案的同时，也联系了当当网客服进行投诉。
　　6月19日，当当网公关总监徐淳在回复法治周末记者采访时也证实：何丽的邮箱被盗是出现此事件的原因。
　　“经过公司内部核查，何丽的账号在今年3月底被盗，账号被盗原因可能为用户邮箱被盗所致，建议用户报警。”徐淳介绍，关于盗用者的信息，当当网也在追查中，并会积极配合警方调查。
　　仅用邮箱变更账号信息已滞后
　　法治周末记者了解到，近段时间以来，当当网用户中遭遇账号被盗、账户内礼品卡被盗刷的不仅是何丽一人。
　　今年3月，一名“王差飞向月球”的微博(MicroBlog)用户，在微博上也反映：自己在未收到短信提示的情况下账户内资料被更改、礼品卡内1500元也被用光。当时，他还将自己的遭遇@了“当当网”和“当当李国庆[微博]”。另据媒体报道，今年5月，在杭州滨江一家证券公司上班的朱小姐，礼品卡内1300余元也被盗刷……
　　让何丽颇为困惑的是，自己重新登录当当账户后，发现邮箱和手机号码等重要资料(Means)的篡改，全部通过邮箱完成，自己绑定的手机号码并未收到任何提醒。
　　“平时在当当网的消费和充值情况，手机都会收到短信，但盗号者盗用账号、修改手机号时，我的手机却没有收到任何提醒警示或者验证(Experimental)。所以我认为，这是当当网流程(liú chéng)和系统设置的一个大漏洞。”何丽认为，正是当当网在身份认证机制上的缺陷，才使得自己发生了损失。
　　不过，何丽告诉法治周末记者，当当网客服人员否认网站存有缺陷，也拒绝承担任何责任。
　　那么由邮箱申请账号后，单纯通过邮箱变更电商账号内所有信息是否属于行业通行的做法呢？
　　猎豹移动安全专家李铁军在接受法治周末记者采访时表示，之前，互联网服务(fú wù)提供者主要通过用户名和密码确认登录者的身份，变更一般也通过认证的邮箱来进行。
　　不过，李铁军表示，随着互联网上拖库(指黑客攻击网站漏洞（weak points)，窃取包含用户注册邮箱和密码的数据库)、撞库事件(黑客将数据库聚合在一起，专门针对知名电商网站自动化批量登录)的接连发生，大约从开始，支付宝[微博]等第三方支付机构在验证用户身份时启用了账户密码和手机短信(简称SMS)验证的双重验证体系，近一两年来开始扩展至B2C电商平台。
　　“对于电商平台等具有交易属性的网站，尤其是绑定有支付卡的网站来说，如果目前还没有开通绑定手机号的验证功能，说明其在网络安全（Network Security）措施上还不到位。”李铁军说。
　　李铁军认为，对于账号出现的异常登录、账户个人信息的重大变更，如变更收货地址等，电商平台都应当增加手机验证的方式方法，以此确保用户的账号使用安全。
　　法治周末记者在采访中了解到，一些电商平台如淘宝网[微博(MicroBlog)]，如果用户要修改密码或者进行其他事项的变更，为了保障账户安全，在进行变更前都需要确认对方身份，如果账户绑定了手机，则优先进行手机校验；若未绑定则可以选择登录邮箱进行校验。
　　变更账户机制被指不合理
　　网上交易保障中心副主任乔聪军认为，当当网的这种认证逻辑存有缺陷。他向法治周末记者介绍，一般情况下，如果用户要变更原来的手机号码等资料信息，是需要给原来的手机号码发送验证码，以确保该变更是在原用户的掌控下所进行的操作，“否则绑定手机号就变得没有意义，只是一种摆设”。
　　6月18日，法治周末记者以用户身份致电当当网客服，一位男性客服人员告诉记者，如果客户是以手机号码申请的当当网账号，那么要对账户信息进行变更必须通过手机进行验证；如果是以邮箱申请的账号，在用户通过安全中心绑定了手机的情况(Condition)下，当当网会提供邮箱验证和手机验证两种方式方法，用户选择其中一种即可。ISO27001认证由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的，1999年BSI重新修改了该标准。分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。ISO13485认证其作用于人体体表或体内的主要设计作用不是用药理学、免疫学或代谢的手段获得，但可能有这些手段参与并起一定辅助作用。
　　该客服人员称，如果用户以邮箱申请当当网账号后，账户密码还同原来的邮箱密码保持一致，就会存有非常高的风险，容易使不法分子通过邮箱验证的方式方法，变更其所有的信息。
　　何丽告诉法治周末记者，其最初的当当账号密码同邮箱密码并不相同，而是存在明显的差异。此次事件后，她又以QQ邮箱重新申请了一个新的当当账号，也绑定了手机号，但是客服人员仍然告诉她，即使绑定，也可以选择通过邮箱更改所有资料。
　　何女士认为，在绑定手机号的情况(Condition)下，还可以单纯通过邮箱进行变更，这样的认证方式缺乏合理性，也让变更者缺乏制约。
　　法治周末记者也就该问题采访了徐淳。徐淳表示，当当网对客户的账号安全有严密的保护措施，包括邮箱验证、手机验证等身份验证方式，不过对于何丽遭遇的情形，其需要同技术部门沟通查询更多信息。截至记者发稿，当当网方面未就该问题作出回应。
　　对此，李铁军认为，即使密码不同，只要不法分子掌握用户的邮箱和密码，就可以像何丽一样，通过(tōng guò)“找回密码”的方式登录平台账号，修改相关(related)信息，同时关联到自己的手机上。因此李铁军认为，在绑定手机号的情形下，仅通过认证邮箱就可以变更所有用户资料的做法是欠妥当的。
　　电商平台应尽更高注意义务
　　对于当当网的认证机制，乔聪军也认为，相对于普通用户，电商平台更应知晓不同验证(Experimental)方式对应的风险等级，尤其是此前当当网出现了多起用户账号被盗事件，出于保护消费者权益的考虑，在用户原账号信息作出重大变更时，应当通过(tōng guò)多重方式进行验证和告知，手机短信验证应该成为提示的“标配”。
　　“打个比方，用户用邮箱申请的账户及密码相当于家庭中的防盗门，绑定手机号的用户资金账户是屋内的木门，一般来说两个门都要有钥匙(key)，而且是不同的钥匙。如果用户不慎丢失了防盗门的钥匙，通过木门的钥匙也能防止资金账户被盗刷，而非单纯通过一个邮箱就打开了所有的门。”乔聪军说。
　　中国电子商务政策法律委员会副主任刘春泉在接受法治周末记者采访时表示，我国消费者权益保护法规定了企业负有确保消费者信息安全的义务，作为企业应当采取技术和其他必要措施，防止消费者个人信息泄露、丢失，“不过要想让企业绝对地保障安全，这是做不到的”。
　　不过，刘春泉认为，如果是基于现有认识水平可以预料（释义:事先推测；事先的推测)到这种瑕疵或者漏洞、但不予改进，那就是有过错，如果因为这种瑕疵或者漏洞对用户造成损失（loss)，那么电商平台就应当承担一定的责任。
　　乔聪军认为，在互联网信息安全事件频发的背景下，作为互联网服务提供商，应当认真梳理身份认证的逻辑，加大信息安全方面的投入，切实保障消费者的权益。
　　此外，李铁军对记者介绍，很多用户在互联网上使用同一套用户名和密码，“这种做法的危险性是非常高的，被盗几乎是一定的，只是时间早晚的问题”。
　　李铁军介绍，如果用户在不同网站都使用相同的注册邮箱和密码，一旦有一家网站被黑客拖库，不法分子就会批量尝试去其他网站登录，即进行撞库，一旦撞库成功，不法分子就会获取用户更多的个人信息，或用于窃取账户金额，或者用于实施诈骗。
　　为此，李铁军建议消费者，对于有交易属性(property)的网购平台的用户名和密码尽可能保证唯一性，不要与邮箱密码或者其他网站的登录信息一致。此外，如果认为某电商平台的安全保障措施欠缺，李铁军建议消费者不要绑定银行卡或第三方支付账号，以免遭受更大的损失。