谁截盗了我的当当网订单

　　当当网假客服，一分钟内信用卡被盗刷22770元——消费者段丽(化名)怎么也没想到，这种倒霉的事会发生在自己身上。

　　段丽想不明白的是，自己的快递明明还在上，为何订单详情却显示已经签收？骗子又为何对自己的订单详情了如指掌？

　　安全人士认为，发生这种情况，用户个人账户被窃取的可能性非常小，用户个人信息有极大可能性是从当当网内部泄露。

　　7月31日，段丽在当当网上下单购物，之后曾想取消订单，就通过当当APP联系上了客服，但不知何故，在客服的帮助下，段丽依然无法成功取消订单，于是她就打消了这一念头。

　　然而从8月3日开始，段丽连续收到4封当当网“失效订单”的通知邮件——明明订单未成功取消，怎么会失效呢？段丽虽感到奇怪，但并未加理会；也是在这一天，她还收到了一个177开头的、自称是当当网客服的电话，由于当时她在忙碌，就匆匆挂了电话，并未在意对方所说的内容。

　　8月4日，这个177开头的电话再次打来，对方先是准确报出了段丽的姓名、电话、购物商品明细等，让段丽稍稍放下了心；接着对方又在电话中表示，段丽的订单出了问题，需要按提示进邮箱进行相关操作。

　　谨慎的段丽先到当当官网上查看了自己的订单状态，发现订单详情确实显示其已经在8月4日“收货并确认”，可自己连快递电话都没接到过，怎么可能收货呢？

　　看到官网上与事实不符的订单详情，杜丽对这个177电话客服彻底放松了，再加上之前各种的铺垫，段丽希望赶紧将这个异常的订单进行退款处理。于是，她按照对方的要求进入到个人邮箱，点击了所谓的“失效订单”邮件中的网页链接。

　　按照对方的，段丽点击了邮件中的网址链接，在跳出的页面上输入了下单时使用的信用卡卡号、密码，结果显示密码错误；段丽以为是自己忙乱中输错了密码，于是又重复操作了一次，结果依然显示密码错误；就在段丽第三次输完密码后，她突然意识到不对劲：密码明明是正确的，怎么会一直显示错误呢？该不会遇到了骗子吧？

　　段丽赶紧通过手机银行查询了信用卡消费记录，发现就在刚刚的一分钟内，其信用卡已经分三次共被刷走22770元。

　　于是她立刻联系当当网客服。客服人员表示并未联系段丽让其退款，之后她又给开头为177的“客服”打电话时，已经无人接听。至此，她才确认遇到了骗子，所谓的客服邮件和电话，均是出自骗子之手。

　　目前，段丽已经报警。而和当当方面联系询问异常订单的问题时，当当回应称，其所购商品属于海外购，目前还在上，预计20多天后才能到货。

　　表示：“当当假客服和其他假客服不同的地方在于，骗子除了掌握用户的个人信息外，还能准确告知用户，其订单详情出现了异常；当用户通过当当官网查询订单详情时，确实和骗子所说的一模一样，这会让很多人卸下，掉入骗子的。”

　　告诉周末记者，自己和妻子对电信诈骗都很，电商平台冒出的假客服新闻也都看过，所以掌握了个人信息的骗子，若只是冒充客服打电话，自己和妻子是都不会上当的，而这次，妻子就是因为看到官网订单显示“收货并确认”信息确如骗子所言才放下了所有，导致最终信用卡被盗刷。

　　周末记者在调查过程中发现，此前被的淘宝客服、聚美客服中，骗子最多是掌握了用户的个人信息和购物详情，之后就只是打电话给用户，若用户上当，则通过第三方社交软件发布钓鱼网址。

　　但在当当假客服中，不少当当网用户都表示，官网上异常的订单详情，是导致自己落入骗子的关键。

　　如在21CN聚投诉平台上，近期就有5个用户表示在当当网的信息泄露，电话诈骗，其中天津的苏晶(化名)跟段丽的几乎一模一样，同样的“已确认收货”的异常订单，同样的无所不知的假客服。

　　不同的是，苏晶是通过当当网上的一个支付宝页面上点击的网页链接而进行的退款操作，最后被盗1500元；而段丽则是通过邮箱邮件操作损失22770元。

　　在新浪微博上，更有大量用户公布了自己的，声称自己在当当购物的信息会在下单第二天就被骗子掌握，并且在没有收到货的情况下，订单详情就显示“收货并确认”。

　　那么，这些用户的订单详情为何会出现异常？是订单详情出现异常后恰好被骗子知晓？还是骗子能制造订单异常的现象？

　　一位不愿具名的网络安全机构专家表示，若多位用户的订单都出现异常，那么一定是遭到了人为的主动修改，程度比较严重。

　　而平台出现这样的情况，专家认为，原因无非是两种：一是平台违规操作；二是攻破了平台的系统。

　　但该专家认为，在上述情况中，订单被修改的原因不太可能是被者所致，因为从逻辑上分析，者是不可能长时间作案的，他们一旦侵入系统，很快就会被发现；若多名用户都了订单被修改的情况，就能更进一步排除这个可能性。

　　专注于互联网安全监测的杭州网蛙科技有限公司CEO王碧波告诉周末记者，据其团队对当当APP和官网的监测显示，当当网的APP和官网的漏洞确实非常多，他甚至认为，“从技术上分析，当当方面好像并不重视IT系统安全”。

　　认为，除了官网上异常的订单详情让自己想不通外，骗子如何得知用户的个人信息、购物详情等更是一个巨大的谜团。

　　“刚下单，骗子就知道了我们的姓名、电话、购物详情；不仅如此，还能准确说出我们订单有什么样的异常。”说，“这些信息难道不应该只有我们自己和当当两方知道吗？”

　　告诉周末记者，自己有理由怀疑当当内外，造成订单异常的，从而使得用户轻信了骗子，导致信用卡被盗刷。

　　周末记者登录当当网，发现在登录之前，当当网的首页就会弹出一个安全提醒对话框，用大红字体写着“当当平台及销售商不会以任何理由，要求您点击任何网址链接进行退款或支付操作”，后附上当当客服电话。

　　工作人员听完记者的描述后当即表示：“当当不会泄露用户个人信息给，用户个人信息被骗子掌握，很有可能是黑客或其他盗取了个人的当当账户信息，您加强自己的账户安全级别，并且不要相信任何退款电话。”

　　“个人信息泄露，是个老生常谈的问题，但关键在于，到底是哪个环节泄露的？这才是每次事件发生后人们最关注的地方。”王碧波表示。

　　王碧波告诉周末记者，在段丽的中，骗子是在其下单后及时获知了其个人信息，这种情况或者是段丽的个人账户被盗，或者是当当网的系统被入侵。

　　“如果段丽的是个例，那么很难判断到底是哪种情况；但如果段丽的是集体现象，那么肯定是当当网的系统被入侵了，被别人看到了数据库。”王碧波说。

　　“如果是大量的分散的用户都是这边下完订单，那边个人信息就被骗子掌握，时间间隔如此短，用户面积如此大，那么极有可能是当当网的系统被入侵，被别人看到了数据库。”王碧波表示。

　　对这种情况，市炜衡律师事务所上海分所高级合伙人邹晓晨律师也认为，基本可以确定这些个人信息的来源是当当网内部，来自外部的可能性很小。

　　“因为有类似的用户数量很多，并且分散在各地，若是通过非法手段盗取用户信息，从而再去实施电信诈骗的话，诈骗成本会很高。”邹晓晨表示，而信息从内部泄露的情况，有两种可能，一种就是内部人员贩卖信息；另外就是系统被入侵，或者某个系统接口给外部，导致骗子能够掌握用户的个人信息和购物详情。

　　左晓栋认为，在网络交易过程中，互联网平台方处于更加强势的地位，因而相比于用户而言，应当在网络安全问题上承担更多的责任。

　　“根据国外惯例，如果系统中出现了影响较大的安全事件，商家有责任通知用户。”中国信息安全研究院副院长左晓栋告诉周末记者，在我国，目前互联网平台方的责任意识缺失，用户处在极端弱势的地位，发生类似的事件，用户很难讨回。

　　邹晓晨律师告诉周末记者，像这样的电信诈骗，很多都是跨地域作案，警方追踪的成本非常高，追捕工作难以顺利开展。

　　“若用户掌握的足以证明订单信息泄露系当当网，那么可以要求当当在范围内承担责任。”邹晓晨说。

　　但邹晓晨表示，在实际情况中，用户在举证时存在着极大的困难，这是导致用户处在弱势地位的重要因素。

　　邹晓晨，当当网的诸多者可以尝试提起集体民事诉讼的方式，起诉当当网未尽到安全保障义务，来自身的权益。

　　推荐：