昨日,网友“@丸子”在微博上分析了一家淘宝店如何利用店铺“装修”,篡改交易记录、网友评价、商品评分,这些消费者在网购时重要的选购参考指标,被店主穿上“马甲”,呈现虚假数据。淘宝网技术部工作人员向本报记者证实目前只发现一家店铺利用该漏洞。目前淘宝网已对这一技术漏洞及时进行了修补,并对程序设计者和造假店主都进行了相应的处罚。
淘宝:已注销造假网店
昨日,淘宝网也就此事对本报记者作出回应称,该帖所指出的问题店铺已经被淘宝网注销,并已对店铺进行了处罚。而店铺篡改信息的方式,正是钻了技术漏洞。
淘宝网工作人员讲述了事件的来龙去脉:淘宝网请设计师对淘宝店铺的装修进行软件设计,当时,给设计者放开了一些权限。部分设计师正是利用了这种自由度进行恶意代码撰写,并编成软件销售。而这家店铺的店主购买了这套软件,并利用软件存在缺陷对一些区域进行了修改。据了解,目前撰写恶意代码的设计师已被淘宝网注销了设计师资格。
目前,淘宝网已经将网店的部分重要区域,比如商品详情、销量、评价等敏感区域进行“装修”保护,店主在“装修”时,无法改变这些区域的内容。
工作人员还说,目前已经对所有购买过这种软件服务的店铺进行了筛查,只发现了这一家店铺,并未在其他店铺传开使用。
律师:消费者可提出退货
昨日,广东广之洲律师事务所律师刘远鸿在接受记者采访时表示:“如果淘宝店主通过技术手段篡改销售量,提高信誉度,这一行为属于虚假宣传,对消费者来说是一种欺诈行为。”
刘远鸿表示,这种行为违反了《消费者权益保护法》的相关规定,需要承担行政处罚责任和民事赔偿责任。工商管理部门也可以对淘宝店主的这种虚假宣传行为进行罚款、整治、乃至关闭店铺等处罚。
同时,造假的淘宝店主还应对消费者进行退货,并承担相应的损失赔偿。
网友:网店用图片篡改数据
在网上购物如何挑选?看商家信用值?看商品交易额?看买家评分?看买家评论?昨日,看完网友“@丸子”对一家网店进行的技术分析后,你会发现,或许这些都不可信。
“@丸子”首先在微博上普及了网店装修的基础知识:网页是由html和css以及一些js效果呈现出来的,html如人的骨骼,css就是外表装饰,js控制页面的效果,类似神经。而淘宝店铺“装修”就是用css来控制页面的显示效果。这家店正是使用了css里的background属性,为某区域设置背景图。
“@丸子”还举例分析了店主是如何“做手脚”,把30天销售数量从“0”改成了“580”的。她表示,页面上造假的数据都是由背景图片呈现的,也就是说,如同给原始页面穿上了一件外套,遮盖住了原始数据。“@丸子”还给网友提供了一个有效的辨别方法:“在默认情况下,你只要选中文字,如果选中区域为蓝色就是图片,为白色就是文字。”
**:技术上很容易实现
昨日,记者在网上找到被曝光的这家网店。这是一家服装品牌的折扣店,该店的评分在“发货速度”和“服务态度”方面均高于同行业水平。不过,记者发现,该店所有的商品均已下架,而之前被网友“@丸子”分析的商品页面也已不存在了。
一位IT资深人士张先生告诉记者:从技术上来讲,一般的IT人士都能实现微博上说的那种造假方法,因为这是非常简单的操作。不过,他提到,这要以淘宝网存在一定的技术漏洞为前提,但按道理来说,这样的技术漏洞是不难发现的。
网友声音
吐槽:
@阿兹海默症的小五:不仔细看还真没留意。骗子智商逐年提高啊!
建议:
@王志:这种骗局太幼稚了,要买东西到淘宝主搜索引擎检索结果,这个店的任何虚假信息都不可能进入数据库,是无法欺骗主搜索引擎的,所以只要从淘宝**获取搜索结果就不会被骗。
@闪电猫妈:网购要小心骗子!还好,道高一尺魔高一丈,用选中的方法很容易就能识别真假啦。
质疑:
@大头沈晗:虽然不是很懂电脑编程,但也不认为用户可以有权限修改整个框体布局,或者来修改指定背景图的位置和大小来遮挡住页面。修改掉什么评价数据就更不用说了。
反思
@Lintei_kou:店主装修自己店铺时竟然可以更改交易量和评价数之类的数据?!淘宝也给店主太大的权限了吧?这种骗局单靠淘宝封店是治标不治本的,解决源代码修改权限才能**。
新闻链接
“一号店”11名员工 涉嫌泄露客户信息
本报上海讯 (记者贺涵甫)昨天,上海公安部门通报了打击网络犯罪专项行动的**成果时透露,**网购公司“一号店”有不良员工涉嫌勾结外部人员泄露客户信息。
根据上海市浦东公安分局透露的消息,经过前期排摸调查,现已查获“一号店”网上商城员工与离职、外部人员内外勾结,造成部分客户信息泄露一案。截至目前,已有11人被公安部门控制。
据悉,包括“一号店”涉嫌泄露客户信息等事件在内,今年以来,上海的公安**已经持续开展了一系列打击整治网络违法犯罪的专项行动。在公安部的统一部署下,上海当地公安部门又从8月份起开展了深化打击整治网络违法犯罪专项行动。
警方透露,专项行动以来,共侦破涉网违法犯罪案件954起,抓获犯罪嫌疑人1788名,捣毁各类犯罪团伙108个。其间,破获了一个涉及赌资700余亿元的特大网络**案,现场缴获赌资310余万元,该案是迄今为止本市公安**摧毁的境内**代理层级**高、投注金额**的特大网络**团伙。
而针对近年来人气日益高涨的“微博”、“播客”等网络媒体,警方强调,网络与现实社会一样,应有道德规范和法律要求,如果网友恶意发布不实信息甚至谣言,公安部门将依法追究当事人的法律责任,并对其行为进行曝光。
网友自爆支付宝被盗 支付宝回应称有疑点
本报上海讯 (记者陈庆辉)日前,网友“陈星”在网上诉说称,事发在晚上,他先后收到两条短信,**条说有人在修改他的支付宝安全认证问题,第二条短信说有人修改了他支付宝绑定的手机,他马上意识到账号被盗了。当他查询银行卡余额时,卡上余额已被划走。昨日,“陈星”的帖子引起网友热议。
据“陈星”自述,他在10月13日曾在淘宝商城买东西,使用了快捷支付。“快捷支付需要客户提供本人姓名、身份证号、银行卡号和在银行开户时预留的手机号码,我按照要求全都提供了,于是快捷支付成功,不需要银行卡密码,也不用开通网银,直接可以支付!而且以后每次支付均不用再用手机进行验证,直接可以支付。”
“陈星”说,因为盗号者已经将这个支付宝账户的所有信息改得面目全非,包括个人信息、安全问题、绑定的手机等,所以在账号被盗的20多个小时里,他打过无数次支付宝的客服电话,提交自己的所有资料找回账号,但**终都不成功。
昨日,支付宝公司表示,文中提到的“账户安全认证问题被修改,收到短信提醒”是自相矛盾的。“如果是账户安全保护问题被修改,通过回答原安全保护问题来修改的话,修改完成以后,账户绑定手机并不会收到短信提醒;如果通过手机方式修改安全保护问题的话,手机上收到的应该是验证码,如果验证码不泄露,安全保护问题无法继续完成修改。”
对于“修改了我支付宝绑定的手机”的说法,支付宝表示,如果是验证的银行卡预留手机,多数银行需要到柜台修改手机号码,在支付宝账户上并不能修改银行端的预留手机号码。如果验证的是支付宝账户绑定的手机,那么如果验证码不泄露,绑定的手机还是无法继续修改的。
“盗用者已经将这个支付宝账户所有信息改得面目全非,包括个人信息,安全问题,绑定手机等”这种说法也被支付宝公司否定,“如果账户是通过实名认证的,账户的认证信息根本无法进行修改成他人。”
昨日,支付宝公司的宣传负责人告诉记者,到现在为止,客服人员并没有收到有关这方面的投诉记录。
另外,由于网站认为“陈星”的帖子存在内容不实,因此该帖昨日已被删除,“陈星”的账号也被禁言7天。
本报记者杜安娜 实习生胡循广、陈琪