昨日,網友“@丸子”在微博上分析了一家淘寶店如何利用店鋪“裝修”,篡改交易記錄、網友評價、商品評分,這些消費者在網購時重要的選購參考指標,被店主穿上“馬甲”,呈現虛假數據。淘寶網技術部工作人員向本報記者證實目前只發現一家店鋪利用該漏洞。目前淘寶網已對這一技術漏洞及時進行了修補,并對程序設計者和造假店主都進行了相應的處罰。
淘寶:已注銷造假網店
昨日,淘寶網也就此事對本報記者作出回應稱,該帖所指出的問題店鋪已經被淘寶網注銷,并已對店鋪進行了處罰。而店鋪篡改信息的方式,正是鉆了技術漏洞。
淘寶網工作人員講述了事件的來龍去脈:淘寶網請設計師對淘寶店鋪的裝修進行軟件設計,當時,給設計者放開了一些權限。部分設計師正是利用了這種自由度進行惡意代碼撰寫,并編成軟件銷售。而這家店鋪的店主購買了這套軟件,并利用軟件存在缺陷對一些區域進行了修改。據了解,目前撰寫惡意代碼的設計師已被淘寶網注銷了設計師資格。
目前,淘寶網已經將網店的部分重要區域,比如商品詳情、銷量、評價等敏感區域進行“裝修”保護,店主在“裝修”時,無法改變這些區域的內容。
工作人員還說,目前已經對所有購買過這種軟件服務的店鋪進行了篩查,只發現了這一家店鋪,并未在其他店鋪傳開使用。
律師:消費者可提出退貨
昨日,廣東廣之洲律師事務所律師劉遠鴻在接受記者采訪時表示:“如果淘寶店主通過技術手段篡改銷售量,提高信譽度,這一行為屬于虛假宣傳,對消費者來說是一種欺詐行為。”
劉遠鴻表示,這種行為違反了《消費者權益保護法》的相關規定,需要承擔行政處罰責任和民事賠償責任。工商管理部門也可以對淘寶店主的這種虛假宣傳行為進行罰款、整治、乃至關閉店鋪等處罰。
同時,造假的淘寶店主還應對消費者進行退貨,并承擔相應的損失賠償。
網友:網店用圖片篡改數據
在網上購物如何挑選?看商家信用值?看商品交易額?看買家評分?看買家評論?昨日,看完網友“@丸子”對一家網店進行的技術分析后,你會發現,或許這些都不可信。
“@丸子”首先在微博上普及了網店裝修的基礎知識:網頁是由html和css以及一些js效果呈現出來的,html如人的骨骼,css就是外表裝飾,js控制頁面的效果,類似神經。而淘寶店鋪“裝修”就是用css來控制頁面的顯示效果。這家店正是使用了css里的background屬性,為某區域設置背景圖。
“@丸子”還舉例分析了店主是如何“做手腳”,把30天銷售數量從“0”改成了“580”的。她表示,頁面上造假的數據都是由背景圖片呈現的,也就是說,如同給原始頁面穿上了一件外套,遮蓋住了原始數據。“@丸子”還給網友提供了一個有效的辨別方法:“在默認情況下,你只要選中文字,如果選中區域為藍色就是圖片,為白色就是文字。”
專家:技術上很容易實現
昨日,記者在網上找到被曝光的這家網店。這是一家服裝品牌的折扣店,該店的評分在“發貨速度”和“服務態度”方面均高于同行業水平。不過,記者發現,該店所有的商品均已下架,而之前被網友“@丸子”分析的商品頁面也已不存在了。
一位IT資深人士張先生告訴記者:從技術上來講,一般的IT人士都能實現微博上說的那種造假方法,因為這是非常簡單的操作。不過,他提到,這要以淘寶網存在一定的技術漏洞為前提,但按道理來說,這樣的技術漏洞是不難發現的。
網友聲音
吐槽:
@阿茲海默癥的小五:不仔細看還真沒留意。騙子智商逐年提高啊!
建議:
@王志:這種騙局太幼稚了,要買東西到淘寶主搜索引擎檢索結果,這個店的任何虛假信息都不可能進入數據庫,是無法欺騙主搜索引擎的,所以只要從淘寶官方獲取搜索結果就不會被騙。
@閃電貓媽:網購要小心騙子!還好,道高一尺魔高一丈,用選中的方法很容易就能識別真假啦。
質疑:
@大頭沈晗:雖然不是很懂電腦編程,但也不認為用戶可以有權限修改整個框體布局,或者來修改指定背景圖的位置和大小來遮擋住頁面。修改掉什么評價數據就更不用說了。
反思
@Lintei_kou:店主裝修自己店鋪時竟然可以更改交易量和評價數之類的數據?!淘寶也給店主太大的權限了吧?這種騙局單靠淘寶封店是治標不治本的,解決源代碼修改權限才能根治。
新聞鏈接
“一號店”11名員工 涉嫌泄露客戶信息
本報上海訊 (記者賀涵甫)昨天,上海公安部門通報了打擊網絡犯罪專項行動的最新成果時透露,著名網購公司“一號店”有不良員工涉嫌勾結外部人員泄露客戶信息。
根據上海市浦東公安分局透露的消息,經過前期排摸調查,現已查獲“一號店”網上商城員工與離職、外部人員內外勾結,造成部分客戶信息泄露一案。截至目前,已有11人被公安部門控制。
據悉,包括“一號店”涉嫌泄露客戶信息等事件在內,今年以來,上海的公安機關已經持續開展了一系列打擊整治網絡違法犯罪的專項行動。在公安部的統一部署下,上海當地公安部門又從8月份起開展了深化打擊整治網絡違法犯罪專項行動。
警方透露,專項行動以來,共偵破涉網違法犯罪案件954起,抓獲犯罪嫌疑人1788名,搗毀各類犯罪團伙108個。其間,破獲了一個涉及賭資700余億元的特大網絡賭博案,現場繳獲賭資310余萬元,該案是迄今為止本市公安機關摧毀的境內賭博代理層級最高、投注金額最大的特大網絡賭博團伙。
而針對近年來人氣日益高漲的“微博”、“播客”等網絡媒體,警方強調,網絡與現實社會一樣,應有道德規范和法律要求,如果網友惡意發布不實信息甚至謠言,公安部門將依法追究當事人的法律責任,并對其行為進行曝光。
網友自爆支付寶被盜 支付寶回應稱有疑點
本報上海訊 (記者陳慶輝)日前,網友“陳星”在網上訴說稱,事發在晚上,他先后收到兩條短信,第一條說有人在修改他的支付寶安全認證問題,第二條短信說有人修改了他支付寶綁定的手機,他馬上意識到賬號被盜了。當他查詢銀行卡余額時,卡上余額已被劃走。昨日,“陳星”的帖子引起網友熱議。
據“陳星”自述,他在10月13日曾在淘寶商城買東西,使用了快捷支付。“快捷支付需要客戶提供本人姓名、身份證號、銀行卡號和在銀行開戶時預留的手機號碼,我按照要求全都提供了,于是快捷支付成功,不需要銀行卡密碼,也不用開通網銀,直接可以支付!而且以后每次支付均不用再用手機進行驗證,直接可以支付。”
“陳星”說,因為盜號者已經將這個支付寶賬戶的所有信息改得面目全非,包括個人信息、安全問題、綁定的手機等,所以在賬號被盜的20多個小時里,他打過無數次支付寶的客服電話,提交自己的所有資料找回賬號,但最終都不成功。
昨日,支付寶公司表示,文中提到的“賬戶安全認證問題被修改,收到短信提醒”是自相矛盾的。“如果是賬戶安全保護問題被修改,通過回答原安全保護問題來修改的話,修改完成以后,賬戶綁定手機并不會收到短信提醒;如果通過手機方式修改安全保護問題的話,手機上收到的應該是驗證碼,如果驗證碼不泄露,安全保護問題無法繼續完成修改。”
對于“修改了我支付寶綁定的手機”的說法,支付寶表示,如果是驗證的銀行卡預留手機,多數銀行需要到柜臺修改手機號碼,在支付寶賬戶上并不能修改銀行端的預留手機號碼。如果驗證的是支付寶賬戶綁定的手機,那么如果驗證碼不泄露,綁定的手機還是無法繼續修改的。
“盜用者已經將這個支付寶賬戶所有信息改得面目全非,包括個人信息,安全問題,綁定手機等”這種說法也被支付寶公司否定,“如果賬戶是通過實名認證的,賬戶的認證信息根本無法進行修改成他人。”
昨日,支付寶公司的宣傳負責人告訴記者,到現在為止,客服人員并沒有收到有關這方面的投訴記錄。
另外,由于網站認為“陳星”的帖子存在內容不實,因此該帖昨日已被刪除,“陳星”的賬號也被禁言7天。
本報記者杜安娜 實習生胡循廣、陳琪
