如何看待「小红书用户信息遭大面积泄露:至少50人被骗,总额近90万」这一事件?
信息来源:小红书用户信息遭大面积泄露:至少50人被骗,总额近90万
3月14日,直到银行卡提示被划走了40087元,26岁的马琳才意识到自己被骗了。
2016年12月28日,在北京工作的马琳在“小红书”上购买了洗面奶,“小红书客服”精确地报出了她在小红书的消费信息,这是她认为自己被骗的主要原因。
小红书用户信息大面积泄露
26岁的郑叶收到了“小红书客服”发给她的通知书,通知书很正式,左上角还有一个小红书的标志。郑叶信以为真。
通知书说:“尊敬的用户,由于您近期在我们店铺购买的商品出现质量问题,现需全部退回,请通过我们合作第三方平台:招联好期贷、蚂蚁借呗、来分期,扫二维码进行接收赔付款,我们客服人员会及时跟您联系,给您造成不便深表歉意,感谢您的支持和信赖。”
通知书还称:“重要通知:因为退还款是第三方合作平台预先把店铺金额退还到您的支付宝余额上,您再进行还款,如果您收到款项不配合还款,导致还款通道关闭,您个人账户逾期,跟您的个人征信是关联的,您到时将被索赔双倍赔偿款,并支付相应的利息。”
据统计,这50名受骗者都是年轻女性,其中有22名大学生。受骗者年龄在19岁到31岁之间,平均年龄是23岁。她们在小红书上购买的产品基本上都是化妆品。
受骗时间分布在3月、4月、5月这3个月,其中3月受骗16人,4月受骗23人,5月受骗11人。受骗人数最多的是3月27日,有6人;4月17日有3人受骗;4月19日有4人受骗;就在4月20日本报刊发报道当天,还有4人被骗。
50名受骗者受骗总金额为879163.58元,受骗1万元以下的有25人,受骗1万~2万元的有11人,受骗2万~3万元的有4人,受骗3万~4万元的有3人,受骗4万~5万元的有4人,5万元以上的有3人。最多的一人被骗9.13万元。
从购买时间来看,2016年12月和2017年1月各有1人被骗,有13人购买时间是在2月,有23人购买时间在3月,有8人购买时间在4月,有4人购买时间是在5月。
今年5月18日,26岁的网友“木易”在小红书购买了沐浴乳和润肤露。6天后,她接到“小红书客服”电话,最后被骗4.3万元。中国青年报·中青在线记者发现,从在小红书购买商品日期,到被骗日期的间隔时间来统计,最短的只有6天,多数时间间隔是一个月左右。
根据收货邮件地址,受骗者遍布全国14省份。其中广东有9人被骗,江苏有7人被骗,浙江有6人被骗,北京有5人受骗,武汉有3人受骗,沈阳、重庆、成都、合肥各有两人受骗。
马琳说,受骗者数量庞大。从最早的3月到现在,人数每天都在上升,这是源头出了问题,而不是小红书官方指出“用户自己的快递单乱扔”等原因那么简单。受骗者遍布全国各地,收货地址不同,基本排除了消费者泄露信息的可能性。
3月14日,直到银行卡提示被划走了40087元,26岁的马琳才意识到自己被骗了。
2016年12月28日,在北京工作的马琳在“小红书”上购买了洗面奶,“小红书客服”精确地报出了她在小红书的消费信息,这是她认为自己被骗的主要原因。
小红书用户信息大面积泄露
26岁的郑叶收到了“小红书客服”发给她的通知书,通知书很正式,左上角还有一个小红书的标志。郑叶信以为真。
通知书说:“尊敬的用户,由于您近期在我们店铺购买的商品出现质量问题,现需全部退回,请通过我们合作第三方平台:招联好期贷、蚂蚁借呗、来分期,扫二维码进行接收赔付款,我们客服人员会及时跟您联系,给您造成不便深表歉意,感谢您的支持和信赖。”
通知书还称:“重要通知:因为退还款是第三方合作平台预先把店铺金额退还到您的支付宝余额上,您再进行还款,如果您收到款项不配合还款,导致还款通道关闭,您个人账户逾期,跟您的个人征信是关联的,您到时将被索赔双倍赔偿款,并支付相应的利息。”
据统计,这50名受骗者都是年轻女性,其中有22名大学生。受骗者年龄在19岁到31岁之间,平均年龄是23岁。她们在小红书上购买的产品基本上都是化妆品。
受骗时间分布在3月、4月、5月这3个月,其中3月受骗16人,4月受骗23人,5月受骗11人。受骗人数最多的是3月27日,有6人;4月17日有3人受骗;4月19日有4人受骗;就在4月20日本报刊发报道当天,还有4人被骗。
50名受骗者受骗总金额为879163.58元,受骗1万元以下的有25人,受骗1万~2万元的有11人,受骗2万~3万元的有4人,受骗3万~4万元的有3人,受骗4万~5万元的有4人,5万元以上的有3人。最多的一人被骗9.13万元。
从购买时间来看,2016年12月和2017年1月各有1人被骗,有13人购买时间是在2月,有23人购买时间在3月,有8人购买时间在4月,有4人购买时间是在5月。
今年5月18日,26岁的网友“木易”在小红书购买了沐浴乳和润肤露。6天后,她接到“小红书客服”电话,最后被骗4.3万元。中国青年报·中青在线记者发现,从在小红书购买商品日期,到被骗日期的间隔时间来统计,最短的只有6天,多数时间间隔是一个月左右。
根据收货邮件地址,受骗者遍布全国14省份。其中广东有9人被骗,江苏有7人被骗,浙江有6人被骗,北京有5人受骗,武汉有3人受骗,沈阳、重庆、成都、合肥各有两人受骗。
马琳说,受骗者数量庞大。从最早的3月到现在,人数每天都在上升,这是源头出了问题,而不是小红书官方指出“用户自己的快递单乱扔”等原因那么简单。受骗者遍布全国各地,收货地址不同,基本排除了消费者泄露信息的可能性。
20 个回复
白米Ⅲ级
赞同来自:
公民个人信息泄露从企业角度,会带来合规风险甚至可能涉嫌刑事犯罪。从用户角度,隐私被窃取的同时还成了诈骗犯罪的目标对象。所以从某种意义上来说,企业也好、用户也好在信息泄露事件中,都是受害者。小红书用户信息泄露的事件,只是现阶段用户信息乱象中的沧海一粟,但无疑再一次给企业和用户敲响了警钟。
一、企业方面
信息安全合规、技术保障、反舞弊缺一不可。
信息泄露主要有三个途径:
1.拖库、撞库。
这里的“库”指的是“社工库”(黑客通过技术手段获取的用户资料、账号、密码等信息的集合数据库)。拖库是指从社工库中批量获取一一对应的用户名和密码等信息。撞库是指到目标网站中利用软件程序对这些用户名和密码进行批量的登录验证。
简单来说,拖库、撞库就是利用了用户所有网站都用同一组用户名、密码注册的习惯,采用苦工流的简单技术,到不同网站去“撞大运”,如果能够登录成功,就获得了用户的信息和账号。
对策:
(1)企业应当建立用户行为识系统(UA模块),通过对键盘、鼠标等操作情况的分析、建模,识别批量登录的机器行为和用户正常行为的区别,在验证的源头遏制撞库。
(2)企业应当对用户登录环境(PC或者移动端UMID、系统环境等)、登录地区等进行安全验证,在发现登录环境、地区等惯常情况发生变化时,要求用户进行双重验证,验证失败应及时锁定账户。
(3)发现撞库行为时,积极采取补救措施,通知相关用户修改密码。
2.黑客入侵
当企业的服务器或者系统存在漏洞,或者管理员密码发生泄漏时,黑客可以利用漏洞、密码等对服务器进行远程登录,并窃取服务器内部的用户信息。
对策:
发现情况后,及时保存服务器日志,如果是IDC,则应及时通知服务器托管方。然后对安全日志进行分析,排查漏洞、更换密码,并对已泄密的信息采取必要的隔离措施。由于此时黑客入侵的行为已经涉嫌非法获取、侵入计算机信息系统数据、侵犯公民个人信息罪,企业在后续行为中应当注重相关电子证据的搜集、保存程序要求,避免证据污染,同时搜集遭受损失的证据,在专业人士的指导下,向公安机关报案。
3.内部人泄露
能够接触、掌握到企业内部用户信息的工作人员为谋取私利故意贩卖信息。
对策:
(1)建立内部信息管理系统。核心信息存放在同一数据库中,员工调取、查阅相关信息时以工号、密码登录,同时记录员工行为并保存。出现信息泄露时,通过员工行为记录进行倒查。
(2)建立员工行为规范(COC),进行数据分级管理,建立反舞弊举报和内控制度。在出现故意贩卖个人信息的行为时,注意收集客观证据,对涉事员工进行调查谈话,形成书面材料到公安机关进行控告。
最近颁布的《网络安全法》对互联网企业在信息安全的合规问题上提出了极为严格的要求。企业不但要制定信息安全标准、检测排查信息风险漏洞,在个人信息的收集、保管、披露、提供时都要获得用户授权,并且在信息发生泄漏时还要及时的补救并通知用户、行政报备。企业如果违反上述规定,除罚款100万元以下外,最高并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 如果企业在融资、IPO等重要节点出现信息泄露的问题,不但对企业的商业信誉造成重大影响还可能对企业的重大经营决策产生毁灭性的打击,因此,通过合规、反舞弊等措施保障信息安全,不仅是对用户的负责,也是对企业经营的长远保障。
二、用户方面
密码管理、安全意识有待提高
答主在办理的大量互联网犯罪案件的过程中发现受害者往往存在以下共性:(1)密码管理意识弱,一个密码吃遍天。(2)对陌生链接、二维码警惕性不高。(3)有意或者无意向对方提供手机验证码。(4)为获取小利,因小失大。
防范建议:
1、关键账户使用不同密码,切忌一码通用。
2、陌生链接不点,陌生条码不扫。
3、误点链接发现木马下载时立刻断网。
4、不要在电脑上接受对方的远程操作。
5、不要将自己带有验证码的截图发给对方(一元木马案件中的嫌疑人的主要作案手段就是骗取带有验证码的截图)。
6、永远不要因为任何原因向对方付钱,哪怕是1分钱(可能你以为你付的是1分钱,实际上是1万元)。
以上建议均基于其他受害人的血泪教训,请大家重视。
匿名用户 白米Ⅲ级
赞同来自:
闻逗比 白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
第二查日志,看有没有漏洞
第三 查内鬼
以前电商工作时候遇到过类似事件…
白米Ⅲ级
赞同来自:
这种严重的安全事件,不应该有超过两个人反馈,官方就应该重视吗?
用户乱丢快递单?这种事情发生不应该是安全部门跟进,通过各个渠道提醒已经消费的自及后来的消费者这个骗局吗?直接把锅甩给用户,我怎么想到了三星的套路。
白米Ⅲ级
赞同来自:
首先针对骗术,我有几点想说的。
从查找到的资料可以看出,所谓的客服联系方式,往往是用qq或者电话,甚至有用信件的。如果真的是紧急通知,最先不应该先是官方把消息发给你的账号吗?甚至还有说留qq来联系了,一个做得也不算小的平台,怎么会用第三方软件来联络呢?
其次,遇到让你转账,退款的消息,要千万慎重。官方如果真的出错了,不会强制你转账,更不可能用威胁的方式,这属于失误,是要他们自己负责的。
回到正题,互联网时代,其实没有什么隐私可言的。只要有人是知道你所发布的信息的,你就很难保证不会被泄露。所以相关信息千万不要随意发布在对外公开的网页上。只要自己的安全工作,防范意识都具备,是不会被轻易诈骗的。
像这种涉及客户隐私的工作,工作人员的信誉必须要高,国内相关方面的系统其实还不算特别成熟,有待提高。中国人多,聪明人也多,又面临紧张的就业压力(虽然其实劳动力是短缺的,但人们往往想做的是高薪又体面的工作,才会导致这种看似矛盾),把智慧用在了歪道上,还是很令人悲哀的。
本人是没有用过小红书,但是从这一次次信息泄露,以及官方态度来看,如果不改变,不认真对待客户的安全,是会不长久的。
白米Ⅲ级
赞同来自:
见过太多个人扒数据之后到网上贩卖,
见过更多的是小公司直接贩卖或者“无意泄露”用户信息。
即便采集到证据证明。信息就是从公司直接流出的,也依旧无法起诉公司,更何况起诉也打不赢。这就导致国内大小公司和个人在贩卖个人信息这块有恃无恐。即便人多被公诉,也丝毫不惧。
白米Ⅲ级
赞同来自:
有个故事不晓得大家听过没:刺猬有个很重要的秘密,它把这个秘密告诉了兔子,再三叮嘱兔子要守口如瓶,然后…它又如此这般的告诉并叮嘱了猴子,狐狸,猩猩,松鼠…
后来大家都知道了刺猬的秘密,刺猬很恼火:到底是谁走漏了风声呢?
早安
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
小仙女 白米Ⅲ级
赞同来自:
白夜 白米Ⅲ级
赞同来自:
至少在目前来看无论说是举报,投诉甚至起诉什么的还是没有多大作用的。我国关于网络安全和网络监管的力度还是不足,用户的信息究竟是被窃取的还是被出卖的很难有一个定性,这就决定了起诉肯定是没有多大作用的。真正要解决的,一方面企业应该加强管理而另一方面,官方的统一监管也不能缺少。责任倒追机制和举证责任倒置可以并行。让企业在高压之下,不得不提出切实可行的方案来维护用户的隐私。最后就是用户在使用消费的时候,尽量维护自己的信息安全,比如,快递单,能不留地址就尽量不留,能不详细就尽量不详细,真实姓名尽量不要留,可以将经常网购用的银行卡和信用卡等区分开,毕竟,在机制不够完善下,自己学会保护自己的隐私才是最重要的。
白米Ⅲ级
赞同来自:
这件事我不知道,但看了问题,我首先觉得这个软件官方说“用户快递单乱扔”,我真心觉得搞笑。
不管法律责任在谁,这个官方这样推诿责任,肯定是不对的,向用户推诿,还用的如此尴尬的理由,让人看完这个软件的“责任心”,呵呵。
你可以推诿责任,
你可以说这些事与你无关
你可以钻法律漏洞,甚至可能最后都不会有任何的利益损害,
但
你所说的话都将作为呈堂证供!
???
呸!!!
但
你再也无法得到你应得到的信任
这是代价。
白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自:
白米Ⅲ级
赞同来自: