誰盜刷了我的沃爾瑪購物卡

　　被盜刷的沃爾瑪電子禮品卡截圖。資料圖

　　安全人士認為，短連結外加密碼的方式，相對比較安全，不法分子同時猜到連結和密碼的可能性小，但通過簡訊的方式發送給用戶，存在很大安全風險

　　法治周末見習記者劉嘉

　　經過一個半月的協商，9月8日，按照賣家「易點生活旗艦店」的要求，家住上海的於慶兵提交了最後一項證明材料，因沃爾瑪電子購物卡被盜刷而損失的2000元終於有了追回的希望。，

　　時間回溯到7月23日，於慶兵在京東商城的「易點生活旗艦店」購買了兩張1000元的沃爾瑪電子卡，下單後，他收到了商家發來的兩條附有「電子碼短鏈」和四位數字密碼的簡訊。

　　三天後，他偶然點擊兩張1000元購物卡的短鏈，卻出現了「電子禮品卡已使用」的提示，通過查詢交易明細，他發現兩張購物卡均在深圳、東莞被他人使用。

　　這樣的遭遇，讓於慶兵感到十分困惑：為何會出現這種情形？購物卡為什麼會被其他人盜用？

　　數十位用戶購物卡被異地消費

　　「易點生活旗艦店」(以下簡稱「易點」)是數字營銷服務提供商——易點生活電子商務有限公司在京東開設的網店，主要出售沃爾瑪、e代駕、百草味的購物卡、代金券，公司成立於2014年，註冊資金1億元。

　　法治周末記者注意到，用戶通過易點購買沃爾瑪電子購物卡後，會收到一條附有「電子碼短鏈」的簡訊，其中，500元以上的購物卡還額外帶有四位數字密碼；用戶購物付款時，點擊該簡訊上的連結並輸入密碼，即可跳轉到沃爾瑪「電子碼掃碼界面」，把該條形碼交給沃爾瑪門店店員進行掃碼即可付款。

　　7月26日，購卡僅三天、尚未消費的於慶兵，發現自己購買的兩張1000元購物卡竟然已被他人在外地使用，面對這樣的查詢結果，他甚是疑惑，「這幾天，我沒有離開過上海，也從未告訴過別人短鏈和密碼，怎麼會在深圳、東莞使用呢？到底是誰盜刷了我的電子購物卡？」

　　北京用戶于欣的經歷與於慶兵類似。7月27日，她在易點購買了兩張500元、一張200元沃爾瑪購物卡，下單後收到了商家發送的三條包含有短連結的簡訊。次日，她在沃爾瑪付款時，發現三張購物卡在發貨後，很快便被人在深圳使用了。

　　記者在採訪中了解到，還有很多用戶在易點遭遇了類似的情形。截至9月11日，在一個名為「京東易點沃爾瑪受害者」維權群內，已有66位用戶加入。據初步統計，群內29名用戶的沃爾瑪購物卡，均在7月24日至8月6日期間被盜用，涉及金額為3.78萬元，部分用戶已向當地公安機關報案。

　　雙方爭議購物卡安全性

　　購物卡被異地消費後，很多用戶認為，其主要原因是「易點」售賣的購物卡未使用複雜、無規律的購物卡長連結地址，而發送了簡單、有規律的短連結，從而造成洩露。

　　以於慶兵的購物卡連結為例，兩張購物卡原本的長連結分別為「https：//cardup.cn/ZHrK1GVptAY77J9J」「https：//cardup.cn/jq769BitDCR9lOv4」，但商家在簡訊中發送的卻是「http：//t.cn/RKkwxdb」「http：//t.cn/RKkwxeo」短連結格式。

　　「長連結結構複雜，而短連結只有後幾位不同，很容易被不法分子破解。」於慶兵說。

　　針對用戶的質疑，9月8日，易點相關負責人在接受法治周末記者採訪時稱，以短連結的形式向用戶發送卡密是行業內的通用做法，對於大額購物卡而言，一旦密碼輸錯5次，購物卡就會暫時凍結10分鐘，購物卡不存在安全問題；小額購物卡則出於便利性考慮，沒有配備數字密碼。

　　該負責人介紹，目前根據用戶的投訴情況，公司發現此次被盜刷的購物卡80%是大額購物卡，而後臺系統未收到密碼錯誤的反饋信息，因此不大可能是不法分子通過試驗的方式，破解密碼從而盜刷購物卡。

　　負責人進一步解釋，如果短連結安全存在問題，那理論上被盜刷的應該都是沒有密碼的小額卡；此外，公司系統未受到攻擊，因此因安全性問題導致購物卡被盜刷的說法是不成立的，具體原因還需由公安機關作出判斷。

　　由於雙方一直未能就購物卡安全性和賠償問題達成一致，於慶兵曾於7月27日向京東客服提出了申訴，京東的客服回復稱已反饋給商家。不過，8月11日，於慶兵發現，這兩個還處於交易糾紛狀態中的訂單，卻被系統自動確認收貨了，交易狀態變更為「交易成功」。這也讓於慶兵頗為不滿。

　　9月8日，京東相關負責人告訴法治周末記者，依據京東的收貨規則，訂單如20天內未確認完成，系統會自動確認完成，如訂單未收到貨/出現異常，可以聯繫客服處理。

　　9月8日，前述易點負責人告訴記者，針對此事，公司已經報警；由於無法確認購物卡是否為本人購買以及是否被盜用，因此，需要用戶提供買家收貨手機號實名認證資料、購買訂單截圖、身份證正反面以及報警受理單，公司通過內部核實確認購物卡存在被盜用的可能性，將會先行賠付用戶的損失，但仍保留對相關盜用者及虛假投訴用戶採取法律措施的權利。

　　專家建議使用平臺客服系統

　　獵豹移動安全專家李鐵軍認為，易點這種短連結外加密碼的方式，相對而言是比較安全的，不法分子同時猜到連結和密碼的可能性很小，「但是易點通過簡訊的方式發送短連接和密碼給用戶，這種方式並不安全」。

　　李鐵軍表示，簡訊洩露的渠道有很多，如手機中了木馬病毒等，這樣簡訊中的短連結和密碼很容易洩露，在技術上存在一定的風險，相對而言，通過電商平臺自帶的客服系統則更安全。

　　北京市煒衡律師事務所上海分所高級合伙人鄒曉晨認為，易點這種銷售電子購物卡的方式存在很大的問題，卡號作為一段數據(無論是否帶密碼)，要從購物卡的發行方發送給易點，易點再以簡訊的形式發送用戶，在這個過程中，每一個環節都有可能產生洩露；而且由於購物卡易於消費的特性，事後幾乎難以追蹤去向，此外密碼只有4位且都是數字，對於多次試錯缺乏鎖死機制，這也給不法分子的網絡攻擊和盜刷提供了便利。

　　網上交易保障中心副主任喬聰軍認為，此次盜用雖然集中在大額購物卡上，但也暴露出小額購物卡沒有密碼的問題，這種情況下，一旦短連結被不法分子獲取，就可以很快消費掉卡內的餘額。

　　此外，喬聰軍認為，京東作為交易平臺，有義務維持交易秩序的正常進行，在訂單處於糾紛狀態時，平臺應當及時凍結相關訂單，而不是在爭議未處理完時自動確認收貨，這樣無法保護相關權利人的權益，對於一些特殊情況，平臺應當明確處理辦法。