用户捡便宜但后期京东将协商索赔电商安全问题再引关注

　　前天晚上，京东商城出现重大漏洞，用户可以使用积分无限制兑换手机话费、游戏点卡、Q币、彩票等，这使部分发现这一漏洞的用户捡了大便宜。

据公开信息称，有用户甚至充了36万元话费，还有包括套Q币、彩票等，导致京东损失惨重，预计亏损2亿元左右。

　　京东系统出错，用户可使用积分无限制兑换手机话费。

　　京东反映本版

　　承认网站漏洞保留追究权利

　　据悉，京东的漏洞具体是点击后系统自动充值成功，但是不扣积分，每个下单时间只需10多秒，同时未充值成功的积分被双倍退回账户。

　　对此，京东商城公共关系部昨日回复称：“有关京东商城积分无限制充值话费点卡，经核查，系为京东商城上线积分换购新业务时出现的系统BUG(漏洞)所致，但亏损2亿元纯属谣传。京东商城已经在昨日第一时间成功修复，目前用户可以正常使用积分换购相关商品。京东商城后期将与相关用户协商解决，对于一些恶意订单用户，京东商城保留进一步追究其法律责任的权利。”

　　京东商城的回复承认了的确有此事发生。其实，电子商务安全事件屡见不鲜，不过此事的特殊之处在于“这次的系统漏洞是京东商城倒霉，而以往的事件更多的是用户受损”。

　　什么是系统BUG？对于众多电脑用户来说，这一名词应该并不陌生。Bug一词的原意是“臭虫”或“虫子”。但是现在，在电脑系统或程序中，如果隐藏着的一些未被发现的缺陷或问题，人们也叫它“Bug”。相关技术人员告诉商报记者，所谓“Bug，就是指电脑系统的硬件、系统软件(如操作系统)或应用软件(如文字处理软件)出错”。

　　互联网资深法律人士、中国政法大学知识产权中心研究员赵占领告诉商报记者，系统BUG的原因非常复杂，一般是由于网站运营管理不当所造成的。

　　专家意见

　　获取不当利益需担法律责任

　　由于涉及面较广，此事在微博上反响热烈。微博用户老王遗憾地表示：“各相关新闻评论里一片哀嚎，感慨自己知道的晚了。看来这事儿，没完！”也有网友爆料称，京东已报案，自己就接到了公安局的电话。

　　有微博网友称，这不是逼我们犯罪么？如果你遇到这样的事情，会怎么办呢？不过也有人暗自庆幸，天下没有免费的午餐，在众人疯狂刷钱之际，自己果断地关了电脑睡觉。

　　有网友称，“掉下来的便宜不能捡，因为根据国家法律规定，利用BUG套用费将负法律责任，金额起点在500元人民币。此前就曾有新闻报道称，一位程序员利用支付宝BUG，非法套取7万元，最后被判刑5年。”

　　对此，赵占领对商报记者表示，网友的担心不无道理，京东商城的确可以采取法律行动，将这笔钱要回来。赵占领称，此事件可以区分为两种情况：一种是用户在不知情的情况下利用漏洞，获取不当得利。这就是民事责任。“虽然京东商城出现故障，用户不能因此而获利。京东商城可以依据合同法，以重大误解为由取消合同，要求对方返还。”第二种则要严重得多，即用户在知情的情况下利用漏洞去获利。以北京地区为例，如果达到2000元，就涉嫌构成盗窃罪。

　　上海普若律师事务所吴秋发律师也告诉商报记者，对于利用漏洞疯狂充值、恶意订单的用户的行为，根据现行的法律规定，是要让他们承担民事赔偿责任的，严重者可能涉嫌违反刑法有关“套取现金”的规定。

　　吴秋发律师认为，这几年电子商务行业安全事件频发，应当引起相关企业的重视。他表示，从事件本身来讲，京东商城及其他电子商务企业都应该引以为戒，对电子商务企业的安全性提出更高的要求，不但要考虑用户使用的安全，同时也要从网络服务层、加密技术层、安全认证层、交易协议层、商务系统层等各个层面，不断完善电子商务的安全体系建设。电子商务的安全性不能有效解决，将严重影响电子商务的应用与整个行业的发展。

事件频发

　　遭遇网上盗号卡内金额归零

　　今年以来，用户在电子商务网站中账户被盗的现象层出不穷，引起了业界的重视。本报前不久就报道了一桩用户在京东商城内礼品卡消费金额不翼而飞的离奇事件。白领王小姐欢欢喜喜领到公司奖励，却因为遭遇网上盗号而变成“一场空欢喜”，其亲身经历提醒消费者，电子商务在给消费者带来便利的同时，也存在着一定的风险。

　　今年5月30日，作为公司优秀销售代表，王小姐的邮箱里收到了一份奖励——400元京东商城礼品卡，邮件里还附上了卡号和密码。等到国庆前夕，王小姐打算使用该礼品卡时，却惊讶地发现，礼品卡金额竟然显示为零。

　　王小姐情急之下只能致电京东商城，得到的答复是：“礼品卡已经被广东省的一位李小姐捆绑使用了，因此无法返还。”据记者调查，该礼品卡是这位李小姐从淘宝网上购买来的，而在淘宝网上进行搜索发现，京东、当当礼品卡都有出售，且来历不明。

　　京东商城因为系统漏洞受损，可以向用户索赔，用户却没有那么“好命”。对于用户账户被盗的事件，京东商城表示无能为力，只是建议用户购入电子礼品卡后，应当立即进行账户绑定，以防信息被窃。

　　追索分析

　　操作会有麻烦追回可能较大

　　京东能够顺利要回被用户占有的资金吗？赵占领认为，“操作起来有些麻烦。”属于民事责任的部分，需要提起诉讼。此次事件涉及用户众多，企业操作难度较大。此外，电子商务交易还涉及了第三方网站，比如用户用积分购买了QQ币，必须由京东商城、腾讯公司和用户进行三方协商。

　　不过，即使程序较为麻烦，在网站受损的情况下，把资金要回来的可能性依然大大高于用户受损的情况。

　　赵占领告诉商报记者，“在用户受损的情况下，大多数时用户不能够挽回损失。只有极少数网站会对用户做出补偿。”

　　前不久，亚马逊中国针对大批账号被盗一事作出官方回应称：“如果用户确实因盗用而受到损失，亚马逊中国将给予用户相应的补偿。”由此，我们看到了该公司的积极态度。

　　但同样是亚马逊，今年9月5日该公司推出了在网站输入优惠代码便可最高减免500元的手表促销优惠活动，众多消费者在下单后却被亚马逊“以无货为由”单方面取消订单，对此，亚马逊的解释竟然是产品促销导致货源较少。后来根据媒体报道，其实消费者仍然可以在亚马逊网站上购买到被取消订单的货物，只是需要按照原价或者更高的价钱购买而已。这就证明了此前亚马逊的“无货”之词纯属无稽之谈。

　　“电子商务的运营问题和银行业差不多。”赵占领表示，“这就像媒体报道的那样，当银行多给了用户钱，会立马将其改正。反之，则不然。”

　　敲响警钟

　　投入仅为1% 安全隐患重重

　　从上述多起安全事件可以发现，电子商务网站的安全和管理问题不容忽视。

　　不久前，有媒体报道称，消费者在大众点评网中的账户余额被盗刷，并且与账号绑定的手机号和邮箱均没有收到相关提示。大众点评网公司相关负责人表示，目前仍有部分用户未对密码进行重置或重置后的密码过于简单，由此可能导致账号被盗的风险加大。

　　从CSDN泄露事件，到电商网站频现账户信息被盗，并且今年3·15晚会又曝光了银行人员有偿出售客户信息，一系列的事件敲响了信息安全的警钟。一行业协会人士透露，目前，我国信息安全投入仅占整个IT行业投资的1%左右，远远低于欧美国家8%-12%的水平。

由于对安全的不重视，不少急速发展的互联网企业在不经意间为自己埋下了安全隐患的种子。据介绍，目前，整个互联网的安全现状极不乐观：70%以上的加密算法密码库都可以通过高频碰撞破解，80%以上的互联网公司都存在漏洞，60%以上有安全策略的公司依然存在着漏洞。

　　上海市网络与信息安全应急管理事务中心技术人员周先生告诉商报记者，去年发生的CSDN泄露事件导致大量网民信息泄漏，对于网络安全造成了极大的隐患。2011年12月21日，国内最大程序员社区CSDN上的600万用户账号和密码被公开。随后，密码泄露事件开始大范围发酵，多个国内知名网站也被曝出存在“类似泄密问题”，上千万用户账号和密码在网上被公开扩散，该事件被媒体称为“中国互联网史上最大规模的用户信息泄露事件”。

　　一份《公众个人信息保护意识调研报告》显示，有超过60%的被访者遇到过个人信息被盗用的情况。

　　新闻延伸

　　这次系统漏洞是否炒作？

　　今年8月京东商城始发的一场电子商务价格战让人印象深刻，最终有关部门将其定性为一场营销炒作。此次系统漏洞是否仍属炒作？也有网友表示怀疑。

　　前不久，京东商城发生“菜刀门”事件：京东商城一款标价169元的王麻子刀套装成交价仅为26元，引发消费者集中订购数万把。随后，京东商城在事发当天下午4点左右发出公告，称该事件是由于系统存在严重漏洞造成的，但京东商城会全部履约发货。有分析称，虽然京东商城在此事件中主动“受罚”，即为因系统漏洞而贱卖的数万把菜刀埋单，但此事似有炒作嫌疑。