近日,多名小红书用户在社交媒体上爆料,说接到自称小红书客服的电话诈骗,被骗金额从几千到几万元不等。骗子先通过准确说出详细的个人信息和购物信息取得用户信任,再以用户在小红书上购买的商品有质量问题,小红书将按照原价的几倍退款为由,一步步引导用户掉入精心设计的陷阱。
这已经不是小红书第一次被曝出因用户信息泄露导致诈骗事件,一年前小红书就曾因几乎一模一样的诈骗事件被媒体报道过,而骗子精准掌握用户的个人信息和交易信息是导致诈骗成功的重要原因。南都记者了解到,小红书已经冻结涉案店铺,警方也已介入调查。
7月30日晚上9点多,小王接到自称是小红书客服的李某的电话。李某在接通电话的一开始,就准确说出了小王的姓名和她在店铺“米蓝晞”的某次购买记录,这让小王对李某的身份没有丝毫怀疑——“我确实在4月中旬在小红书上购买过米蓝晞浴盐”,小王说。
接着,李某称浴盐因质量问题被很多用户投诉,小红书决定召回商品,并给购买过的用户三倍赔偿。起初,小王因为自己本来就是过敏体质,使用浴盐虽有些轻微过敏但无大碍,不打算接受赔偿。可是李某态度坚定地表示,必须赔偿,并称由于系统原因,如果小王不接受赔偿,其他消费者也拿不到赔偿金。当时小王“一听就信了”。
紧接着,李某询问了小王的芝麻信用分数,在得知分数后又改称分数太低无法直接退款至支付宝,需通过其他方式退款。然而,蚂蚁金服方面对南都记者表示,支付宝从未做过如此规定,这是骗子用芝麻分做幌子进行诈骗的手法。
为了“提升信用分”,李某要求小王下载“来分期”APP和“小米贷款”APP,不过均未借款成功。最后李某发来一个二维码,小王扫描之后跳转至需要填写银行卡号和密码的页面。“开始我拒绝填写,但在李某的安全保证下,我还是填了”,在李某的不断催促下,小王根本来不及思考。由于手机莫名收不到验证码,小王听从了李某“找同学帮忙”的建议,把同学灿灿的电话给了她。
灿灿根据李某的指引操作之后,发现支付宝余额的确增加了1100元。李某谎称这笔钱是她打给灿灿的,但其实却是以灿灿的名义在来分期上借的。李某随后称,扣除退款给小王的部分,其余金额需要返还给她,用于赔偿其他消费者。于是,灿灿向“福禄网游数卡专营店”充了932.28元的Q币。
灿灿向“福禄网游数卡专营店”充了932.28元的Q币。当事人供图
同样的套路,苏州的徐女士被骗了四万多。徐女士表示,她扫描“客服”给出的二维码进入的是“小红书售后服务中心”页面,需要绑定银行卡。“由于我银行卡里没钱,她就要求我从其他借贷平台借钱”,徐女士说,她在网商银行、来分期、中邮消费金融、小米贷款等平台总共贷款四万多,都被骗走了。
扫描假客服给的二维码后进入伪造的小红书售后服务中心平台。当事人供图
据南都记者了解,目前已知被骗的小红书用户达30多人,多为大学生,涉案金额已达27万元,其中至少十人被骗的由头都是曾在小红书上购买过米蓝晞浴盐。
南都记者注意到,《中国青年报》曾在去年4月和6月两次报道小红书用户因个人信息泄露被骗事件。报道提到,诈骗者精准掌握了受骗用户在小红书上的购买记录,自称是小红书客服,50名小红书用户接到假客服电话后上当,受骗总金额超过87万元。
针对上述报道,小红书曾回应,未发现批量账号敏感数据泄露现象。在网购的过程中,所有接触到用户信息的环节,从第三方商家、手机软件到物流快递,都存在信息泄露的可能性。
去年11月,南都个人信息保护研究中心对国内100家常用购物类平台的隐私政策进行测评发现,小红书得分垫底,处于透明度低的层级内。南都记者查阅小红书最新的隐私政策发现,条款依然较为简陋,只字未提发生用户信息泄露事件后,平台和第三方应该承担的责任和义务。
小红书《隐私政策》。图片来自小红书官网
时隔一年,如出一辙的诈骗手段依然成功骗到不少用户,并且仍在持续奏效——据了解,最近一次诈骗就发生在稿件刊发的前两天。究竟是谁泄露了用户信息?
小红书对南都记者表示,目前已经通过技术和日志等途径,排除了小红书泄露用户信息的可能性,基本锁定为第三方店铺的内部人员、快递等环节出了问题,具体情况警方正在调查。小红书已经冻结涉案的第三方店铺,相关页面已无法显示。
针对诈骗电话大部分为手机号码的情况,小红书提醒广大用户,小红书目前以APP内客服为主,一般不会主动用电话联系用户。
用户在注册时同意的是小红书的隐私政策,与小红书形成合约关系,如果确实是第三方店铺人员泄露了用户信息,作为电商平台的小红书和第三方店铺应承担哪些责任?
浙江垦丁律师事务所联合创始人麻策对南都记者表示,一般而言,电商平台是用户信息的第一收集者,用户在注册时同意的是平台设置的隐私政策,平台可基于其业务关系将用户个人信息共享给平台内商家,隐私政策总体上属于平台和用户间的合同。
他认为,若平台未履行隐私政策所承诺的安全手段导致用户信息泄露,或未经用户同意将信息共享给平台内商家,则平台应负起用户信息泄露的相应责任;但若平台没有违反隐私政策的行为,仅仅是平台内商家自行泄露用户信息,相应的法律责任应由平台内的商家承担,平台另可根据法律规定或隐私政策约定追究平台内商家责任。
不过,中国信息安全研究院副院长左晓栋持不同观点。“平台是不能免责的”,左晓栋指出,今年5月1日实施的国家标准《信息安全技术规范 个人信息安全规范》(下称“规范”)第8.6条规定,当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
显然,小红书和平台上的第三方店铺就属于“共同个人信息控制者”。左晓栋表示,虽然《规范》对类似情形已有明确规定,但是企业没有严格落实法律和标准的要求,甚至“为所欲为”:有的企业在自己是平台的时候,称应由第三方承担用户信息泄露的责任;而在别的平台上成为第三方时,又反过来把责任推卸给所在平台。
麻策建议,为厘清平台和第三方店铺的用户信息保护责任,电商平台可以从个人信息的全流程管理入手,从个人信息的收集、使用、分享披露等各环节明确各主体之间的介入关系,各主体均需对环节中涉及的个人信息保护负责。若两个主体在某环节中为用户共同提供服务,则应共同承担责任。
(文中李某、灿灿均为化名)
采写:南都记者蒋琳 南都个人信息保护研究中心研究员尤一炜
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
