小紅書稱未發(fā)現(xiàn)近期有批量賬號敏感數(shù)據(jù)泄露現(xiàn)象

今年3月29日，27歲的李女士在小紅書購買了防曬霜，4月17日接到“小紅書客服”電話。

“客服”在支付寶上直接把她的訂單號發(fā)給她，里面有她在蘇州的詳細收貨地址、購買商品信息，甚至包含著她的小紅書登錄賬號和密碼。

對“客服”的身份確認無疑后，李女士被騙3.8萬元。“除了我自己，誰會掌握我的賬號和密碼？”李女士至今疑惑不解。

4月21日，小紅書通過一家媒體回應稱，公司了解情況后第一時間進行了內(nèi)部驗證與技術(shù)排查，并未發(fā)現(xiàn)近期有批量賬號敏感數(shù)據(jù)泄露現(xiàn)象。

據(jù)介紹，小紅書已經(jīng)制訂了一系列風險規(guī)則、安全驗證方式和登錄限制，以防范用戶敏感信息在其他渠道泄露導致的相應風險。未來，小紅書還將采取一些特別的措施，防止詐騙團伙冒充公司客服。

值得一提的是，在50名受騙者中，還有16人是在小紅書采取“特別措施”之后被騙。

這家媒體還報道稱，受理此案件的黃浦公安表示，該案件目前正在進一步偵查中。在網(wǎng)購的過程中，所有接觸到用戶信息的環(huán)節(jié)，從手機軟件、網(wǎng)站、快遞物流到顧客本身，都存在信息泄露的可能性。因此，警方建議消費者在網(wǎng)購時要多提高安全意識，如為不同的網(wǎng)站設置不同的密碼、不以常用密碼作為支付密碼、及時銷毀快遞單據(jù)等。

游俠安全網(wǎng)創(chuàng)始人張百川分析說，小紅書稱沒有發(fā)現(xiàn)“批量賬號敏感數(shù)據(jù)泄露現(xiàn)象”。這就意味著排除了“掃號撞庫”的可能性。

“撞庫”和“掃號”都是黑客手段專用術(shù)語。跟它相關的，還有“拖庫”。簡單來說，拖庫就是黑客用技術(shù)手段入侵一些安全防范不是很高的中小網(wǎng)站，取得大量用戶注冊名和密碼數(shù)據(jù)，然后再把這些用戶名及密碼跟網(wǎng)絡銀行、支付寶、淘寶等有價值的網(wǎng)站進行匹配登錄，這就是“撞庫”。實際操作中，黑客往往是通過專門的“掃號”軟件，批量驗證賬號密碼是否有價值。

張百川認為，信息外露的途徑有很多，只要是牽扯到輸入的地方，都有可能產(chǎn)生輸出。眾多消費者集體信息泄露，隨后遭遇詐騙，發(fā)生時間集中，基本排除數(shù)據(jù)傳輸和消費者自身信息泄露的可能。“如果是網(wǎng)購平臺大批量出現(xiàn)問題，第一有可能是他們的系統(tǒng)有漏洞，遭到黑客攻擊，竊取了用戶信息；第二也有可能是內(nèi)部人員非法兜售用戶的個人信息。”

“每一個環(huán)節(jié)都有一大幫人做這件事情，是產(chǎn)業(yè)化的方式。”螞蟻金服安全管理部相關負責人稱，這些案子背后的黑色產(chǎn)業(yè)鏈非常復雜，可以從網(wǎng)上買到相關信息，然后會有專用的作案工具，包括手機、電腦、上網(wǎng)卡、銀行卡，等等，專門有一個卡商回收涉案的卡券，通過發(fā)送二維碼的形式銷贓，最后通過其他平臺把這些騙取的資金消掉。