被盜刷的沃爾瑪電子禮品卡截圖。資料圖

　　安全人士認(rèn)為，短鏈接外加密碼的方式，相對(duì)比較安全，不法分子同時(shí)猜到鏈接和密碼的可能性小，但通過(guò)短信的方式發(fā)送給用戶，存在很大安全風(fēng)險(xiǎn)。

　　經(jīng)過(guò)一個(gè)半月的協(xié)商，9月8日，按照賣(mài)家“易點(diǎn)生活旗艦店”的要求，家住上海的于慶兵提交了最后一項(xiàng)證明材料，因沃爾瑪電子購(gòu)物卡被盜刷而損失的2000元終于有了追回的希望。，

　　時(shí)間回溯到7月23日，于慶兵在京東商城的“易點(diǎn)生活旗艦店”購(gòu)買(mǎi)了兩張1000元的沃爾瑪電子卡，下單后，他收到了商家發(fā)來(lái)的兩條附有“電子碼短鏈”和四位數(shù)字密碼的短信。

　　三天后，他偶然點(diǎn)擊兩張1000元購(gòu)物卡的短鏈，卻出現(xiàn)了“電子禮品卡已使用”的提示，通過(guò)查詢交易明細(xì)，他發(fā)現(xiàn)兩張購(gòu)物卡均在深圳、東莞被他人使用。

　　這樣的遭遇，讓于慶兵感到十分困惑：為何會(huì)出現(xiàn)這種情形？購(gòu)物卡為什么會(huì)被其他人盜用？

　　數(shù)十位用戶購(gòu)物卡被異地消費(fèi)

　　“易點(diǎn)生活旗艦店”（以下簡(jiǎn)稱“易點(diǎn)”）是數(shù)字營(yíng)銷服務(wù)提供商——易點(diǎn)生活電子商務(wù)有限公司在京東開(kāi)設(shè)的網(wǎng)店，主要出售沃爾瑪、e代駕、百草味的購(gòu)物卡、代金券，公司成立于2014年，注冊(cè)資金1億元。

　　法治周末記者注意到，用戶通過(guò)易點(diǎn)購(gòu)買(mǎi)沃爾瑪電子購(gòu)物卡后，會(huì)收到一條附有“電子碼短鏈”的短信，其中，500元以上的購(gòu)物卡還額外帶有四位數(shù)字密碼；用戶購(gòu)物付款時(shí)，點(diǎn)擊該短信上的鏈接并輸入密碼，即可跳轉(zhuǎn)到沃爾瑪“電子碼掃碼界面”，把該條形碼交給沃爾瑪門(mén)店店員進(jìn)行掃碼即可付款。

　　7月26日，購(gòu)卡僅三天、尚未消費(fèi)的于慶兵，發(fā)現(xiàn)自己購(gòu)買(mǎi)的兩張1000元購(gòu)物卡竟然已被他人在外地使用，面對(duì)這樣的查詢結(jié)果，他甚是疑惑，“這幾天，我沒(méi)有離開(kāi)過(guò)上海，也從未告訴過(guò)別人短鏈和密碼，怎么會(huì)在深圳、東莞使用呢？到底是誰(shuí)盜刷了我的電子購(gòu)物卡？”

　　北京用戶于欣的經(jīng)歷與于慶兵類似。7月27日，她在易點(diǎn)購(gòu)買(mǎi)了兩張500元、一張200元沃爾瑪購(gòu)物卡，下單后收到了商家發(fā)送的三條包含有短鏈接的短信。次日，她在沃爾瑪付款時(shí)，發(fā)現(xiàn)三張購(gòu)物卡在發(fā)貨后，很快便被人在深圳使用了。

　　記者在采訪中了解到，還有很多用戶在易點(diǎn)遭遇了類似的情形。截至9月11日，在一個(gè)名為“京東易點(diǎn)沃爾瑪受害者”維權(quán)群內(nèi)，已有66位用戶加入。據(jù)初步統(tǒng)計(jì)，群內(nèi)29名用戶的沃爾瑪購(gòu)物卡，均在7月24日至8月6日期間被盜用，涉及金額為3.78萬(wàn)元，部分用戶已向當(dāng)?shù)毓�安機(jī)關(guān)報(bào)案。

　　雙方爭(zhēng)議購(gòu)物卡安全性

　　購(gòu)物卡被異地消費(fèi)后，很多用戶認(rèn)為，其主要原因是“易點(diǎn)”售賣(mài)的購(gòu)物卡未使用復(fù)雜、無(wú)規(guī)律的購(gòu)物卡長(zhǎng)鏈接地址，而發(fā)送了簡(jiǎn)單、有規(guī)律的短鏈接，從而造成泄露。

　　以于慶兵的購(gòu)物卡鏈接為例，兩張購(gòu)物卡原本的長(zhǎng)鏈接分別為“https：//cardup.cn/ZHrK1GVptAY77J9J”“https：//cardup.cn/jq769BitDCR9lOv4”，但商家在短信中發(fā)送的卻是“http://t.cn/RKkwxdb”“http://t.cn/RKkwxeo”短鏈接格式。

　　“長(zhǎng)鏈接結(jié)構(gòu)復(fù)雜，而短鏈接只有后幾位不同，很容易被不法分子破解。”于慶兵說(shuō)。

　　針對(duì)用戶的質(zhì)疑，9月8日，易點(diǎn)相關(guān)負(fù)責(zé)人在接受法治周末記者采訪時(shí)稱，以短鏈接的形式向用戶發(fā)送卡密是行業(yè)內(nèi)的通用做法，對(duì)于大額購(gòu)物卡而言，一旦密碼輸錯(cuò)5次，購(gòu)物卡就會(huì)暫時(shí)凍結(jié)10分鐘，購(gòu)物卡不存在安全問(wèn)題；小額購(gòu)物卡則出于便利性考慮，沒(méi)有配備數(shù)字密碼。

　　該負(fù)責(zé)人介紹，目前根據(jù)用戶的投訴情況，公司發(fā)現(xiàn)此次被盜刷的購(gòu)物卡80%是大額購(gòu)物卡，而后臺(tái)系統(tǒng)未收到密碼錯(cuò)誤的反饋信息，因此不大可能是不法分子通過(guò)試驗(yàn)的方式，破解密碼從而盜刷購(gòu)物卡。

　　負(fù)責(zé)人進(jìn)一步解釋，如果短鏈接安全存在問(wèn)題，那理論上被盜刷的應(yīng)該都是沒(méi)有密碼的小額卡；此外，公司系統(tǒng)未受到攻擊，因此因安全性問(wèn)題導(dǎo)致購(gòu)物卡被盜刷的說(shuō)法是不成立的，具體原因還需由公安機(jī)關(guān)作出判斷。

　　由于雙方一直未能就購(gòu)物卡安全性和賠償問(wèn)題達(dá)成一致，于慶兵曾于7月27日向京東客服提出了申訴，京東的客服回復(fù)稱已反饋給商家。不過(guò)，8月11日，于慶兵發(fā)現(xiàn)，這兩個(gè)還處于交易糾紛狀態(tài)中的訂單，卻被系統(tǒng)自動(dòng)確認(rèn)收貨了，交易狀態(tài)變更為“交易成功”。這也讓于慶兵頗為不滿。

　　9月8日，京東相關(guān)負(fù)責(zé)人告訴法治周末記者，依據(jù)京東的收貨規(guī)則，訂單如20天內(nèi)未確認(rèn)完成，系統(tǒng)會(huì)自動(dòng)確認(rèn)完成，如訂單未收到貨/出現(xiàn)異常，可以聯(lián)系客服處理。

　　9月8日，前述易點(diǎn)負(fù)責(zé)人告訴記者，針對(duì)此事，公司已經(jīng)報(bào)警；由于無(wú)法確認(rèn)購(gòu)物卡是否為本人購(gòu)買(mǎi)以及是否被盜用，因此，需要用戶提供買(mǎi)家收貨手機(jī)號(hào)實(shí)名認(rèn)證資料、購(gòu)買(mǎi)訂單截圖、身份證正反面以及報(bào)警受理單，公司通過(guò)內(nèi)部核實(shí)確認(rèn)購(gòu)物卡存在被盜用的可能性，將會(huì)先行賠付用戶的損失，但仍保留對(duì)相關(guān)盜用者及虛假投訴用戶采取法律措施的權(quán)利。

　　專家建議使用平臺(tái)客服系統(tǒng)

　　獵豹移動(dòng)安全專家李鐵軍認(rèn)為，易點(diǎn)這種短鏈接外加密碼的方式，相對(duì)而言是比較安全的，不法分子同時(shí)猜到鏈接和密碼的可能性很小，“但是易點(diǎn)通過(guò)短信的方式發(fā)送短連接和密碼給用戶，這種方式并不安全”。

　　李鐵軍表示，短信泄露的渠道有很多，如手機(jī)中了木馬病毒等，這樣短信中的短鏈接和密碼很容易泄露，在技術(shù)上存在一定的風(fēng)險(xiǎn)，相對(duì)而言，通過(guò)電商平臺(tái)自帶的客服系統(tǒng)則更安全。

　　北京市煒衡律師事務(wù)所上海分所高級(jí)合伙人鄒曉晨認(rèn)為，易點(diǎn)這種銷售電子購(gòu)物卡的方式存在很大的問(wèn)題，卡號(hào)作為一段數(shù)據(jù)（無(wú)論是否帶密碼），要從購(gòu)物卡的發(fā)行方發(fā)送給易點(diǎn)，易點(diǎn)再以短信的形式發(fā)送用戶，在這個(gè)過(guò)程中，每一個(gè)環(huán)節(jié)都有可能產(chǎn)生泄露；而且由于購(gòu)物卡易于消費(fèi)的特性，事后幾乎難以追蹤去向，此外密碼只有4位且都是數(shù)字，對(duì)于多次試錯(cuò)缺乏鎖死機(jī)制，這也給不法分子的網(wǎng)絡(luò)攻擊和盜刷提供了便利。

　　網(wǎng)上交易保障中心副主任喬聰軍認(rèn)為，此次盜用雖然集中在大額購(gòu)物卡上，但也暴露出小額購(gòu)物卡沒(méi)有密碼的問(wèn)題，這種情況下，一旦短鏈接被不法分子獲取，就可以很快消費(fèi)掉卡內(nèi)的余額。

　　此外，喬聰軍認(rèn)為，京東作為交易平臺(tái)，有義務(wù)維持交易秩序的正常進(jìn)行，在訂單處于糾紛狀態(tài)時(shí)，平臺(tái)應(yīng)當(dāng)及時(shí)凍結(jié)相關(guān)訂單，而不是在爭(zhēng)議未處理完時(shí)自動(dòng)確認(rèn)收貨，這樣無(wú)法保護(hù)相關(guān)權(quán)利人的權(quán)益，對(duì)于一些特殊情況，平臺(tái)應(yīng)當(dāng)明確處理辦法。

　　來(lái)源：法治周末

京東進(jìn)軍無(wú)人值守零售 “千團(tuán)大戰(zhàn)”即將打響

京東取消耳機(jī)顯卡“七天無(wú)理由退貨”

京東生鮮等電商巨頭殺入 大閘蟹虛高價(jià)格擠水分

京東調(diào)整售后政策：耳機(jī)顯卡等不支持7天無(wú)理由退貨

消費(fèi)者在京東退掉的商品，都去哪兒了？

搜索更多: 京東