剛剛過完的“雙十二”成為繼“雙十一”之后的“網購小盛宴”，讓“剁手黨”們再次興奮不已。然而，近日360“補天”漏洞響應平臺曝出近200家網上商城存在信息漏洞，隨之而來的是網上詐騙、騷擾電話、惡意郵件等惡劣行為，不僅煩擾人們的日常生活，更威脅著財產安全。記者采訪了解到，不少消費者紛紛中招。

網上商城成泄露“重災區”

據悉，“雙十二”期間不少網上商城、賣家網站存在安全漏洞且因遭到黑客攻擊而導致信息泄露。

實際上，存在漏洞的網站平臺并非僅在“雙十二”被暴露的數家網站。據“補天”漏洞響應平臺統計分析，今年年初至今，已有近200家網上商城或平臺被曝出存在安全漏洞而導致數據庫信息被竊取，其中多家網站泄露的用戶信息達到數百萬條，最多的甚至達到上千萬條。

網上商城用戶信息與其他類型網站不同。由于購物需要，用戶必須在網站預留姓名、手機號碼、地址等多個真實信息，甚至涉及銀行卡、身份證等敏感信息，這些信息的泄露會直接導致消費者頻繁收到推銷廣告電話、短信或郵件的騷擾，更為嚴重的則是消費者較易遭到網購詐騙。

家住北京市朝陽區的李女士近日接到一個顯示為“京東客服”的電話，一名自稱是客服人員的男子告訴李女士，“京東”將他的購物信息誤操作成分期付款了，稍后會有銀行的工作人員跟其聯系。而在接到一個冒充招商銀行工作人員的電話后，李女士按照對方要求進行“驗證”操作，結果網上銀行被盜取了一萬多元。

信息泄露難溯源成難題

在360“補天”漏洞響應平臺上，記者看到，遭到泄露的用戶信息一覽無余，包括收貨人姓名、手機號、訂單號、收貨地址、發貨時間等所有精確信息。

業內專家認為，正是由于對方掌握用戶的真實、全面的個人信息，甚至包括訂單等所有購物記錄，更有利于其“有的放矢”，且詐騙的成功率很高。

360安全專家鮑宇指出，在“雙十一”、“雙十二”、節慶日等電商促銷季，這些時期也成為黑客集中攻擊網上商城、竊取信息以及有針對性地實施詐騙的高峰期。

鮑宇指出，弱口令漏洞、注入漏洞和越權漏洞等這三種漏洞較為普遍，黑客可以通過匹配密碼、修改網站ID號、構造惡意命令等方式輕易獲取網上個人信息。此外，由于微店、O2O平臺、APP等網購模式的興起，安全漏洞也同時存在于這些平臺。

盤古團隊安全專家小G等多位業內人士表示，網絡購物過程中多個環節都可能造成信息泄露，包括賣家、平臺、快遞公司等，而信息溯源也成為很大的難題。其中，中小型電商平臺和賣家成為信息泄露的“重災區”，主要因為其自身缺乏安全建設的能力和技術且由于泄露的信息涉及用戶而非賣家平臺本身，因此其修復漏洞的積極性很低，用戶信息安全存在很大風險。

多方主體各盡其責降風險

業內專家建議從企業、消費者、行政監管等多層面盡量降低信息泄露的風險和危害。

中國互聯網協會信用評價中心法律顧問趙占領表示，根據相關法律法規，網絡信息服務商收集用戶信息必須遵循正當、合法、必要的原則，此后的使用和保管必須盡到安全保護義務，保障用戶數據更新安全。如其主動泄露則涉及刑事犯罪，而對于因管理或技術漏洞導致的信息泄露，網站則需要向用戶承擔違約賠償責任。

“另一方面，目前行政監管缺位，監管主體不明確，導致網站因信息泄露而遭到行政處罰的案例實際很少。要對用戶維權提供更多的法律支持，比如由網絡服務提供者承擔舉證責任，如若不能提供則要負相關法律責任。”趙占領說。

警方則提示，消費者要按照正規購物網站的流程，不要輕信陌生來電或網站鏈接，且不輕易泄露驗證碼等信息。

安全專家余弦、鮑宇等多位人士指出，網站或平臺應增強自身網絡安全的意識和能力，不具備相關能力和技術的企業可與第三方平臺合作。而消費者應選擇較大的平臺進行購物，不要在過多的網絡平臺注冊或購物，在網購填寫訂單時應盡量避免預留真實完整的信息，如使用昵稱、阿里小號、代收點地址等。新華社