多名唯品会用户遭诈骗背后：是骗子高明 还是平台隐私保护不力？

原标题：多名唯品会用户遭诈骗背后：是骗子高明 还是平台隐私保护不力？ 来源：东方财富网

原标题：多名唯品会用户遭诈骗背后：是骗子高明，还是平台隐私保护不力？

“我只想唯品会给我一个公正的解决方案，我损失的资金到底该怎么解决？”一位自称在唯品会购物后，遭遇诈骗的刘先生对中国科技新闻网说道。

刘先生称，其通过唯品会购买产品后，有声称“唯品会客服”的人员来电，以“产品出现质量问题，并向消费者进行理赔”为由，让刘先生配合其完成理赔流程。

据刘先生表示，由于“唯品会客服”能够准确说刘先生的订单号、邮寄地址、联系方式等相关方面信息，所以就没有怀疑。获得刘先生信任后，一系列环环相扣操作之下，最终，当刘先生发现可能受骗时，已向对方转账高达9万余元。

根据刘先生提供的信息显示，有类似被骗经历的消费者多达上百人，遍布全国多个省份，部分受骗者唯品会已进行了垫付。中国科技新闻网发现，在2020年和2015年，有媒体披露了与上述类似的事件。

对于所谓“唯品会客服”为何能准确掌握消费者信息和唯品会为何会对部分消费者进行资金垫付行为等相关问题。中国科技新闻网曾多次致电唯品会客服，截止发稿该公司未予回复。

对此，网经社电子商务研究中心法律权益部助理分析师蒙慧欣对中国科技新闻网表示：“用户信息泄露问题是行业的‘通病’，这个过程中受害最大的是消费者。而保障用户信息安全应该是企业的义务。如若平台因内部原因没有尽到安全管理责任，应当承担相应的责任。如果是因外部攻击造成，平台应尽可能采取相关技术手段加强用户信息安全保护，减少给用户带来更多的损失，更应尽到提醒消费注意交易安全等问题。”

多位用户被骗

2020年12月9日，刘先生通过唯品会APP购买了一款鳄鱼宝宝润肤乳(唯品会自营)，货品收到后。2021年1月2日刘先生接到了一通自称是“唯品会客服”的电话。

对方声称，刘先生购买的润肤乳有质量问题，现被工商部门检查出甲醛超标，平台愿以双倍的价格对他进行赔偿。“刚开始不相信，但对方能够准确说出我的订单号、购买时间、品牌、收货地址等详细信息。第一瞬间的判断就是唯品会客服。”刘先生说。

随后，对方用QQ把刘先生拉入一个理赔群里，并发送一个带有“唯品会”字样的二维码，并让其扫描进行理赔。但点击之后需要输入本人手机号码，银行卡号，身份证号码等信息，并且对方声称，是为了核实确实是本人在操作，然后公司财务会通过银行统一把钱赔付给刘先生。

在此过程中，对方还让刘先生登录手机银行，但显示验证码每次都为输入超时，用此方式理赔失败后，改用支付宝进行赔偿，对方表示，支付宝上不能有钱，让他把所有钱都转入银行卡。钱转到银行卡后，当刘先生在进行支付宝进行扫码并且输入验证码过程中，第一次输入超时、然后进行第二次输入。

此后，刘先生发现自己9万余元已经分两次进入了对方的账户，此时，他已经意识到之前所谓的支付宝验证码就是自己的资金数额。发现自己被骗刘先生果断报警。

同时，刘先生表述道：“当时不知道怎么就被骗子给洗脑了，截止目前警方也未予回复相关方面的进展情况。”

与李先生有同样被骗经历的王女士补充道：“我在购买此产品时写的电话号码是另一个(骗子知道我的会员号码，打的也是会员号码，而不是收货号码)，收件人和地址是我妈的，但是骗子知道我的真实信息，所以我就相信了。”

北京大成(杭州)律师事务所律师孙鹏程对中国科技新闻网表示：“根据《网络安全法》的规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。违反本法规定，给他人造成损害的，依法承担民事责任。”

“具体包括：严格保密信息并健全用户信息保护制度；合规收集和使用信息；采取必要技术等相关措施，确保收集的个人信息安全；管理机构和人员须尽职管理的保障义务等用户信息安全保障义务。”孙鹏程称。

安全体系待完善？

公开资料显示，唯品会成立于2008年8月，总部位于广州。主营业务为品牌折扣商品，涵盖名品服饰鞋包、美妆、母婴、居家等各大品类。

其实，唯品会并非首次出现信息泄露而致使消费者承受财产损失的情况。

在2020年10月，有相关媒体报道，自称是“唯品会客服”对消费者表示商品有质量问题，可多倍赔付。当时被骗接近百人，被骗数额几千至十几万不等。

同样“唯品会客服”能够准确说出消费者的姓名、电话、购买商品名称等相关信息。

针对用户信息泄露原因，当时，唯品会客服声称“不排除违法分子通过非法手段获得，会联系警方彻查”。

与上述类似的情况还发生在2015年，当时反映接到此类诈骗电话的唯品会消费者就有20余人，遍布全国10多个省市，其中个人被骗金额最高4万多元。

对于此事，唯品会官方称：“一直严格对客户信息进行加密保护，可能是黑客利用‘撞库’技术盗取了消费者的账户信息。”

值得一提的是，2020年11月，广东省通信管理局对唯品会唯品会存在Webview明文存储密码风险、Webview File同源策略绕过漏洞等安全隐患问题进行了通报。

此外，中国科技新闻网从黑猫投诉上了解到，关于唯品会的投诉信息有万余条，其中也不乏有唯品会泄露信息的投诉。

“如果‘黑客撞库’的情况下，网络运营者应当采取必要技术等相关措施，确保收集的个人信息安全的义务。但是不同平台可能需要根据自身的社会影响力、规模和服务范围、所提供服务重要性等因素确定自身采取的防护措施。”孙鹏程还称。

“同时，平台应就其对消费者的信息泄露无故意或过失之事实负举证责任。平台的举证为两方面，即其在信息安全管理上无漏洞，以及消费者信息存在被其他主体泄露的可能性。所以平台是否采取了与自身相匹配的必要技术等相关措施，会直接影响到最终承担责任的大小。”孙鹏程补充道。

此外，相关专业人士对中国科技新闻网表示：“如果发生‘黑客撞库’情况，首先要看黑客攻击的是什么样的电商网站。像京东，淘宝这种电商平台一般不会发生黑客攻击事件，因为他们有优秀的技术团队。唯品会应该也会在防黑攻击上投入人力物力，理论上不会出现。但是因为这种平台存在商家自营的情况，自营就存在信息泄露的情况。”

“如果是小型电商网站，首先考虑服务是否在云服务器上，云服务器是否购买了各种防黑服务。然后要考虑是什么软件技术架构，有的开源电商，本身就存在技术漏洞，要根据漏洞随时升级。像阿里，拼多多，京东等公司采取对用户信息进行主要保护措施就是信息隔离，风控。”该人士说道，“大公司及对用户信息保护特别重视的企业，通过技术手段，可以保障用户数据不被泄露，也不会轻易被黑客攻击或者‘撞库’。”

不过，上述人士称亦提及：“受害者被骗的情况，多个环节都有可能出问题，比如快递环节，就有可能知道消费者的手机号，姓名，购买商品，甚至于订单号等方面的信息，此外，厂家发货也有可能。”

多名消费者在与中国科技新闻网交流时，均将信息泄露源头指向了唯品会，究竟是哪个环节出现泄露，唯品会未作出进一步解释。

中国科技新闻网注意到，3月8日，全国政协委员、国家市场监督管理总局副局长甘霖在全国政协十三届四次会议视频会议发言时建议，做好顶层设计，打通数据壁垒，加强隐私保护，保证数据安全。

她表示，目前我国在大数据、区块链领域，仍然面临数据壁垒制约，数据流通共享亟待加强，数据保护体系不完善，数据的所有权、管理权、使用权、交易权等缺少法律保障，数据安全风险、隐私保护盲点不容忽视。

甘霖建议，加强隐私保护，前瞻研究相关法律制度，明确数据资产权益归属原则，以及数据拥有者、使用者、管理者等各方在数据采集、存储、应用过程中的权利义务和法律责任，提升数据资产安全、个人隐私保护能力，确保数字资产价值分配安全可靠、合理、有效。应防范安全风险，从网络防卫和安全两个角度，研究解决数据安全问题。