网络安全问题反馈平台曾多次提醒大麦网有“撞库”问题,大麦网的不作为是导致上述诈骗事件的重要原因。
图片来源:视觉中国
近日,因大麦网遭到撞库,使用户个人信息被窃取,间接导致全国多地39名用户受骗,损失金额达147.42万元,单人受骗金额最高近10万元。对此,大麦网表示,用户信息是因为遭遇撞库而被窃取,考虑到调查周期较长,所以大麦网向用户垫付被骗资金。不过,业内有声音认为,网络安全问题反馈平台曾多次提醒大麦网有“撞库”问题,大麦网的不作为是导致上述诈骗事件的重要原因。
受骗者杨女士表示,她接到大麦网客服“+4006103721”打来的电话,称由于误操作,不慎给她的账号升级了VIP业务,如果不取消,当晚就会从其银行卡中扣款。随后该客服精准地报出了杨女士的身份证号、手机号、所购演出票等各项信息,打消了杨女士的怀疑。随后杨女士找了一台银行ATM机并按对方指令进行一连串的输入操作,结果被转账9988元。目前北京市公安局已经授理相关案件,案件正在进一步侦查中。
事件发生后,大麦网很快做出了回应并表示,大麦网不会泄露用户个人信息,此次用户信息是因为遭遇撞库而被窃取。撞库是指以大量的用户数据为基础,利用用户相同的注册习惯,比如相同的用户名和密码,尝试登录其他的网站,一旦登录成功便可以十分方便地获取用户个人信息。
大麦网在7月16日的后续声明中表示,因考虑到网络诈骗团伙调查难度较大、周期较长,为了尽快缓解此次事件对用户造成的经济压力,大麦网董事会决定对所有造成实际经济损失的用户实行“先行承担用户损失”的措施,由大麦网向用户垫付被骗资金。大麦网负责人向北京商报记者表示,能够做到损失先行赔付的,大麦网在票务行业可以说是第一个,虽然在这起事件中大麦网也是受害者,但是大麦网愿意承担责任。
大麦网相关负责人告诉北京商报记者,撞库在互联网行业比较常见,通常出现在有钱款交易和储存用户信息的网站。此次事件大麦网并非没有责任,在技术监管层面存在漏洞才让犯罪分子有机可乘。北京市东易律师事务所律师赵虎表示,网站应该承担怎样的责任与信息遭窃取的方式有关。如果是网站后台泄露,说明技术存在漏洞,网站应该承担大部分责任;如果是用户安装了非法软件,导致用户信息被监视,网站并没有责任。但是如果网站恶意泄露用户信息,不单需要承担民事赔偿责任,一旦大面积的用户隐私信息泄露造成了恶劣影响,还需承担行政责任。
虽然大麦网负责人表示,目前大麦网的安全系统已全面升级,可以更好地保护用户信息安全,但大麦网负责人还提醒,消费者只要稍加防范就可以很好地避免这类网络风险,比如不要在多个网站使用相同的用户名和密码,重要密码还需定期更换。同时,消费者需特别注意大麦网与银行的电话前面没有“+”号,这些电话的来电归属地通常在国外。
如今登录大麦网官网,网站显著位置已登出“防诈骗提示”。但有业内人士指出,网络安全问题反馈平台“乌云漏洞平台”去年曾四次报告大麦网有撞库问题,均被标为设计缺陷。而在2014年12306网站用户信息在互联网上疯传,也被指是黑客通过撞库攻击所获得。“不排除此次大麦网撞库攻击存在网站安保设计级别低或者存缺陷的问题。而提升账户安保系统也是拥有大量用户信息的网站尤其需要注意的。”上述业内人士说。
赵虎也指出,现在虽然涉及个人信息保护的法律法规政策有100多部,但是却没有一个完整的法律保护体系,法律应当对网站承担责任大小、应尽的注意义务程度有所规定,才能让此类事件从上商业道德上升到法律层面。