一、当当网用户账户遭盗刷,电商运营“软缺失”

近日包括本报记者在内的不少用户收到来自当当网(NYSE:DANG)的短信提醒，近期当当网个别账户出现礼品卡被不法分子盗用情况，为了用户账户及资金安全，当当网将于3月19日至3月21日冻结用户当当网账户余额及礼品卡。在此期间，请当当网用户及时修改密码，如果发现账户登录异常或账户余额被盗用，请尽快致电当当网客服。

继京东商城用户账户余额被盗刷之后，近日再次爆出当当网用户账户遭盗刷事件。当当网昨日回应称，冻结之前发生的损失，经审核确认后，当当网将给予用户全额补偿。有业内人士分析认为，账号被盗刷暴露电商运营管理中存在漏洞，如何管好用户网络“钱包”成为中国电商未来发展的一道坎。

而在一周前，国内另一大电商京东商城也爆出用户账户被盗刷的情况，有用户发现自己在京东商城的账户被盗刷，而所有被盗的钱都被不法分子用来买彩票了。甚至有被盗用户组成维权QQ群，这些被盗用户遍布北京、上海、陕西、广西等多地，被盗用户都称自己被盗刷的时间都集中在几天时间里，被盗钱财均是被用来购买彩票。

1、当当网回应：全额赔偿

针对用户账户被盗刷的情况，昨日当当网官方发表声明表示，经核实，很多互联网用户习惯在不同网站上使用统一的账户和密码，由于2011年CSDN互联网泄密事件导致大量账户密码数据丢失，给不法分子留下了可乘之机。对于此次冻结之前发生的损失，当当网表示经审核确认后，将分批给予用户全额补偿。对已经被盗的账户，当当网已报案，并请账户余额被盗的顾客也积极向当地派出所报案，当当网将全力协助。而对于目前未受影响的用户，当当网建议用户及时修改密码，避免给犯罪分子留有可乘之机。

2、与此前大规模账号失窃有关

对于近期出现用户在电商网站账号被盗刷现象，金山网络信息安全专家李铁军昨日表示，此次用户账户被盗刷，还是与去年用户网络账户大规模失窃有直接关系。只是一些用户的账户里面没有钱，因此没有被不法分子“看上”。 不断曝出用户网络“钱包”被盗刷，电商网站应该考虑交易系统是否存在风险，因为从媒体报道的情况看，京东被盗用户的钱被不法分子用来买彩票不需要身份验证，结果被不法分子钻了空子。李铁军认为，网站要对用户账户登录情况进行网络监控，一旦发现登录地址异常，就应该给用户发出提醒和警示。

3、业内认为账号被盗刷暴露电商运营“软缺失”

保护用户信息安全是电商企业的责任与义务，而一旦用户账户出现任何问题，企业应当第一时间告知并承担起应有责任。此外加大技术投入，保障用户信息安全在互联网信息泄露的环境下显得尤为紧迫。目前众多电商网站都通过网络“钱包”的模式来吸引用户消费，但很多电子商务网站并没找到真正保护用户网络“钱包”的办法，因为现在相关法律存在不完善的地方，而技术上也存在漏洞。一旦出现问题不少网站还习惯性采取明哲保身的做法。目前中国网络发展很快，但在运营管理上还存在各种缺失，如何管理好用户网络“钱包”成了电商未来发展面临的一场大考。上述信息安全专家李铁军提醒用户，不要在多个网站使用同样的账号与密码，同时不要把太多钱留在网络“钱包”中，因为很多用户购物失败后，退回的钱都是在电商企业为用户开设的网络“钱包”中，并没直接退回用户银行卡账号，这样风险较大。

二、CSDN用户遭数据泄密案告破，首吃信息安全“罚单”

曾引发业界关注的CSDN网站用户数据泄密案宣告破获。北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄露事件做出行政警告处罚，这是国内自落实信息安全等级保护制度以来开出的第一张“罚单”。曾有网友爆料称，国内程序员社区CSDN的信息安全系统遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码遭到泄露。随后，天涯社区、世纪佳缘、开心网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。

国家互联网应急中心(CNCERT)数据统计称，被公开的疑似泄露数据库26个，涉及账号、密码信息2.78亿条。CSDN在微博上确认了这一事故，并表示已经报案。对于大范围的用户数据泄露一事，CSDN回应称，经过初步分析，该库系2009年CSDN作为备份所用。警方的调查显示，嫌疑人承认是在2010年4月利用CSDN网站漏洞，非法侵入服务器获取用户数据，还交代了曾经入侵过某充值平台及某股票系统等犯罪事实。

这种行为的行业术语称作“拖库”，指黑客把网站服务器上数据库偷偷下载到自己电脑中；而撞库则是，黑客用拖库所得的海量注册邮箱和密码，在电子支付、微博、聊天、购物等不同平台上试探登录，如果有人习惯使用相同的注册邮箱和密码，很容易会被黑客撞库盗号。与此同时，北京警方对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，信息安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。