旗下微信矩阵:

当当网全网冻结账户被指危机误判 祸起弱密码

当当网冒着商誉受损的巨大风险作出全网冻结账户的决策,却得到这个令人大跌眼镜的结果,这是一次被误判的危机吗?又是什么原因促使当当网CEO李国庆紧急作出这个决定,之后的74个小时中又发生了什么?
2012-03-24 09:56 · 经济观察报  杨阳   
   

  3月23日,当当网运营高级总监梁健鹏很意外地发现,从19日晚22点到22日24点这74个小时里,当当网所有被冻结了账户的用户中只有6位致电当当网反映自己的账户异常。

  另一个数据令梁健鹏更感蹊跷。19日当当网给大约50万账户上有余额和礼品卡的用户发出了短信、邮件。按照他们自己的设想,至少要有80%的客户会去修改自己的密码。但实际上这三天的数据显示,只有不到5%的用户更改了自己的密码。

  当当网冒着商誉受损的巨大风险作出全网冻结账户的决策,却得到这个令人大跌眼镜的结果,这是一次被误判的危机吗?又是什么原因促使当当网CEO李国庆紧急作出这个决定,之后的74个小时中又发生了什么?

  端倪

  当当网用户账户异常的现象早在一个月前就已经出现端倪。

  据当当网客户服务中心负责人梁健鹏回忆,2月份里有几起零星的用户投诉,称自己的密码失效或者登录不进去。

  当当网临时制定了几个针对性的措施帮助用户恢复正常使用。但由于距离CSDN(微博)账户被盗已经过去了两个月,两家网站的大部分用户重合度不高,且CSDN是用户大规模泄密,而当时当当网仅仅是几个用户出现了异常,因此当当网并不敢断定用户的账户异常就一定与CSDN事件有关。

  当时当当网分析推断,有可能是用户自己平时不够谨慎泄露了自己的账户信息——例如在公共场合上网,或者是泄露给了自己的亲友,泄露了账号和密码。因此只采取了在首页上公告提醒用户,由于CS-DN事件,请用户更改登陆密码确保自己账户安全。

  此后相当“安静”,3月的*个星期里几乎没有什么事情发生。

  但到了3月的第二个星期,突然开始有很多用户向当当投诉,反映自己的账户异常,无法登录、金额不对,或者是出现了陌生的订单,有的时候一天多达二三十个投诉电话。当当网的客服和技术人员都已经意识到事情并不那么简单,情况比想象中的要严重得多。

  他们在加紧研究对策方案的同时*时间向当当网的大当家CEO李国庆汇报了此事。

  冻结所有用户账户中的余额和礼品卡,是19日早上当当网CEO李国庆召集的一次多部门会议上做出的决定——这次由客服中心、技术部、法务部和运作部各部门责任者共七人参与的紧急会议事实上在当天上午和下午召开了两次,上午的会议由李国庆亲自拍板,决定冻结所有有礼品卡和余额的账户,通过短信和邮件的方式通知所有用户上网改密码,所有用户损失当当来补偿,以及向公安机关报警。

  19日下午,李国庆再次召开会议,汇总了各项决定执行的情况,并且立刻着手布置付款流程的改进——付款前要用手机接收验证码。李国庆看到的数据是,从2月中旬到3月19日冻结用户账户前,报告上来的账户异常共197例,损失账户的金额从几十到数百不等,只有极个别账户金额较高。

  当当网随后发布公开声明承认部分用户账户被盗的事实。李国庆指示,要通过短信、邮件等一切方式通知所有用户赶紧到当当网上来更改密码,并检查自己的账户是否有被盗用,以减少用户和当当自己的损失——尽管法务部认为当当可能不需要负担完全责任,但李国庆坚持损失的账户要全额、分批补偿,计划时间期限是两个星期,当然,要在核实该用户确实受到了损失之后。

  这个时候李国庆和他的团队面对的首要棘手问题是,究竟有多少用户账号被盗,损失究竟有多少?对于这家互联网公司来讲,只能通过自家网站公告、短信和邮件的方式提醒用户登录自己的账号,更改新密码并检查礼品卡、账户余额是否有异常。事实上,他们最担心的是用户被盗但是还未曾察觉。

  而另一个棘手的问题是,这些被盗的钱和损失怎么办——如果是已经发生的订单,当当网不仅损失了货品,还要补偿给用户,相当于双倍的损失。

  李国庆认为,尽管在法理上也许当当网不需要全部责任,但在情理上当当网却不能辜负用户的信任,必须全额补偿——即使是几百万元。

  李国庆希望能在三天的时间里,让大部分用户把自己的密码更新完。他下如此大的决心和成本冻结所有有资金、礼品卡账户的原因,也许是由于中国用户对密码的安全性的重视程度犹如A4纸的颜色一样浅。

  祸起弱密码

  根据当当网的判断,是一些不法分子盗取了用户的账户和密码进行操作。事实上对一些稍微懂技术的人来讲这很容易,现在很多用户在不同的网站上使用了相同的账户名和密码,给犯罪分子留下了盗取的机会。

  国内*的网络安全厂商360安全中心在2011年年底曾发布过一次《密码安全指南》,根据国内流行的密码破解字典软件破解列表,整理总结出中国网民最常用的25个“弱密码”。

  根据360安全专家给本报提供的资料,中国网民常用的TOP25 “弱密码”中,有9个与国外网民使用习惯完全相同。其中,除password、abc123、iloveyou、qwerty等全球网民通用“弱密码”外,其余均为数字组合。

  而简单的数字组合,似乎更是中国网民*,占了榜单近半数。比如“666666”和“888888”这样的吉利数,几乎是所有中国黑客密码字典中的必备项,而“5201314”(我爱你一生一世)显然被国人寄予了浓厚的感情色彩,为中国特色“弱密码”。

  网民常用的“弱密码”主要包括简单数字组合、顺序字符组合、临近字符组合以及特殊含义组合等四大类别。而从中国版“弱密码”榜单来看,国内网民更习惯设置6位字符密码。TOP25中竟有18个是6位字符,所占比例高达72%。此外,“a1b2c3”和“p@ssword”这类组合型密码看似复杂,其实也在黑客重点关注的密码列表中。

  如果系统账号或其他网络账号采用上述“弱密码”,很容易被黑客利用密码字典自动“蒙中”,从而造成个人隐私信息泄漏甚至财产损失。

  李国庆试图通过这三天的账户冻结让80%的当当网用户都来为自己的账户设置一个高强度的密码。然而三天下来,6个用户报告账户异常和仅有不到5%的用户更改密码这个事实却令人大跌眼镜。

  究竟是什么原因让客户不去关心自己账户中的财产?

  也许是因为账户中的钱款数额比较少,也许是因为一些用户还没收到当当网账户可能被盗的消息,也许是因为礼品卡得来全不费工夫,也许——他们不在乎的原因,恰恰是一个令当当网员工不愿意相信的、但可能性很高的一个原因——李国庆的“全额补偿”承诺。如果丢了也跟没丢一样,为什么要费事再去改个密码?

【本文由投资界合作伙伴经济观察报授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。