小红书称未发现近期有批量账号敏感数据泄露现象

今年3月29日，27岁的李女士在小红书购买了防晒霜，4月17日接到“小红书客服”电话。

“客服”在支付宝上直接把她的订单号发给她，里面有她在苏州的详细收货地址、购买商品信息，甚至包含着她的小红书登录账号和密码。

对“客服”的身份确认无疑后，李女士被骗3.8万元。“除了我自己，谁会掌握我的账号和密码?”李女士至今疑惑不解。

4月21日，小红书通过一家媒体回应称，公司了解情况后第一时间进行了内部验证与技术排查，并未发现近期有批量账号敏感数据泄露现象。

据介绍，小红书已经制订了一系列风险规则、安全验证方式和登录限制，以防范用户敏感信息在其他渠道泄露导致的相应风险。未来，小红书还将采取一些特别的措施，防止诈骗团伙冒充公司客服。

值得一提的是，在50名受骗者中，还有16人是在小红书采取“特别措施”之后被骗。

这家媒体还报道称，受理此案件的黄浦公安表示，该案件目前正在进一步侦查中。在网购的过程中，所有接触到用户信息的环节，从手机软件、网站、快递物流到顾客本身，都存在信息泄露的可能性。因此，警方建议消费者在网购时要多提高安全意识，如为不同的网站设置不同的密码、不以常用密码作为支付密码、及时销毁快递单据等。

游侠安全网创始人张百川分析说，小红书称没有发现“批量账号敏感数据泄露现象”。这就意味着排除了“扫号撞库”的可能性。

“撞库”和“扫号”都是黑客手段专用术语。跟它相关的，还有“拖库”。简单来说，拖库就是黑客用技术手段入侵一些安全防范不是很高的中小网站，取得大量用户注册名和密码数据，然后再把这些用户名及密码跟网络银行、支付宝、淘宝等有价值的网站进行匹配登录，这就是“撞库”。实际操作中，黑客往往是通过专门的“扫号”软件，批量验证账号密码是否有价值。

张百川认为，信息外露的途径有很多，只要是牵扯到输入的地方，都有可能产生输出。众多消费者集体信息泄露，随后遭遇诈骗，发生时间集中，基本排除数据传输和消费者自身信息泄露的可能。“如果是网购平台大批量出现问题，第一有可能是他们的系统有漏洞，遭到黑客攻击，窃取了用户信息;第二也有可能是内部人员非法兜售用户的个人信息。”

“每一个环节都有一大帮人做这件事情，是产业化的方式。”蚂蚁金服安全管理部相关负责人称，这些案子背后的黑色产业链非常复杂，可以从网上买到相关信息，然后会有专用的作案工具，包括手机、电脑、上网卡、银行卡，等等，专门有一个卡商回收涉案的卡券，通过发送二维码的形式销赃，最后通过其他平台把这些骗取的资金消掉。

谁该为消息泄露负责

李西的遭遇被报道后，也引起小红书的关注。4月21日，上海一家媒体刊发报道《小红书爱心款助受骗学生渡难关》。文中提到，小红书客户服务部负责人胡先生称，小红书客服同事们了解到李西家在农村，家境不好，母亲去年因病住院，还有一个妹妹在读高三，这次受骗给她的家人带来了不小的经济压力。

“听完这位用户的故事，我们都想帮助她和家人渡过难关。因为骗子是打着小红书客服的名义诈骗，所以我也向李西道歉并取得了她的谅解。我们客服部的同事们还在内部发起了一次募捐，总共凑了2.11万元，在上海市公安部门确认受骗人账号后，这笔爱心捐款目前已经转到了李西的银行卡上。”胡先生说。

有律师认为，如果电商平台提供了保护措施，但还是被黑客入侵，这属于不可抗力，不用承担责任。如果因平台存在漏洞而导致信息泄露，那么平台就要负责。电商平台会获取个人信息，它们有保护个人信息的义务和责任。

现实中最尴尬的问题是，信息泄露后，往往很难判断是哪个环节出问题，对责任的界定和处罚不明确，从取证到用户的维权成本都很高。

如今，小红书把“皮球”推给了警方。

小红书相关部门负责人王先生告诉中国青年报·中青在线记者，相信警方可以调查清楚，找到盗取用户信息的幕后主使。

现实中，这些受骗者的维权并不顺利。受骗者孟浩报警时，警方就直接告诉她，这种案子不容易破案，尤其是全国各地发生，也不容易并案。警察还告诉她，有人被骗几千万元都找不回来。

一位受骗者给“小红书客服”打了电话，客服只是例行公事地问了情况，重点强调了他们绝对不会泄露个人隐私，也绝对不会给予任何赔偿。

“不是只有我一人发生这种情况，你去微博搜搜，大批量的用户信息被泄露，这和你们一点关系都没有?你们是否犯了‘侵害公民个人信息罪’?”受骗者在电话中有点发火。

对方质问：你有证据吗?这位受骗者无言以对。

“的确，我拿不出任何证据，既然无法举证，也只能任由自己的信息泄露。”这个受骗者说，可她还是迫切想知道，她在小红书的购物信息、电话、支付宝绑定的银行卡，到底是怎么泄露出去的?

联系本报的部分受骗者信息

截至5月31日的受骗者信息，由李超、蒋丰蔓统计