如何看待「小紅書用戶信息遭大面積泄露：至少50人被騙，總額近90萬」這一事件？

01-07

信息來源：小紅書用戶信息遭大面積泄露：至少50人被騙，總額近90萬
3月14日，直到銀行卡提示被划走了40087元，26歲的馬琳才意識到自己被騙了。
2016年12月28日，在北京工作的馬琳在「小紅書」上購買了洗面奶，「小紅書客服」精確地報出了她在小紅書的消費信息，這是她認為自己被騙的主要原因。

小紅書用戶信息大面積泄露
26歲的鄭葉收到了「小紅書客服」發給她的通知書，通知書很正式，左上角還有一個小紅書的標誌。鄭葉信以為真。
通知書說：「尊敬的用戶，由於您近期在我們店鋪購買的商品出現質量問題，現需全部退回，請通過我們合作第三方平台：招聯好期貸、螞蟻借唄、來分期，掃二維碼進行接收賠付款，我們客服人員會及時跟您聯繫，給您造成不便深表歉意，感謝您的支持和信賴。」
通知書還稱：「重要通知：因為退還款是第三方合作平台預先把店鋪金額退還到您的支付寶餘額上，您再進行還款，如果您收到款項不配合還款，導致還款通道關閉，您個人賬戶逾期，跟您的個人徵信是關聯的，您到時將被索賠雙倍賠償款，並支付相應的利息。」
據統計，這50名受騙者都是年輕女性，其中有22名大學生。受騙者年齡在19歲到31歲之間，平均年齡是23歲。她們在小紅書上購買的產品基本上都是化妝品。

受騙時間分布在3月、4月、5月這3個月，其中3月受騙16人，4月受騙23人，5月受騙11人。受騙人數最多的是3月27日，有6人；4月17日有3人受騙；4月19日有4人受騙；就在4月20日本報刊發報道當天，還有4人被騙。
50名受騙者受騙總金額為879163.58元，受騙1萬元以下的有25人，受騙1萬～2萬元的有11人，受騙2萬～3萬元的有4人，受騙3萬～4萬元的有3人，受騙4萬～5萬元的有4人，5萬元以上的有3人。最多的一人被騙9.13萬元。
從購買時間來看，2016年12月和2017年1月各有1人被騙，有13人購買時間是在2月，有23人購買時間在3月，有8人購買時間在4月，有4人購買時間是在5月。
今年5月18日，26歲的網友「木易」在小紅書購買了沐浴乳和潤膚露。6天後，她接到「小紅書客服」電話，最後被騙4.3萬元。中國青年報·中青在線記者發現，從在小紅書購買商品日期，到被騙日期的間隔時間來統計，最短的只有6天，多數時間間隔是一個月左右。
根據收貨郵件地址，受騙者遍布全國14省份。其中廣東有9人被騙，江蘇有7人被騙，浙江有6人被騙，北京有5人受騙，武漢有3人受騙，瀋陽、重慶、成都、合肥各有兩人受騙。

馬琳說，受騙者數量龐大。從最早的3月到現在，人數每天都在上升，這是源頭出了問題，而不是小紅書官方指出「用戶自己的快遞單亂扔」等原因那麼簡單。受騙者遍布全國各地，收貨地址不同，基本排除了消費者泄露信息的可能性。

謝邀。都說我國的互聯網產業還處在野蠻生長期，既然是野蠻生長就必然存在不規範、不健康的現象，就像傑克的豌豆藤，一夜之間一長衝天的同時，會衝破天花板、會傷及其他花花草草，造成一些很難避免的附帶傷害。而公民信息的泄露，往往就是這種附帶傷害中的最普遍現象。

公民個人信息泄露從企業角度，會帶來合規風險甚至可能涉嫌刑事犯罪。從用戶角度，隱私被竊取的同時還成了詐騙犯罪的目標對象。所以從某種意義上來說，企業也好、用戶也好在信息泄露事件中，都是受害者。小紅書用戶信息泄露的事件，只是現階段用戶信息亂象中的滄海一粟，但無疑再一次給企業和用戶敲響了警鐘。

一、企業方面

信息安全合規、技術保障、反舞弊缺一不可。

信息泄露主要有三個途徑：

1.拖庫、撞庫。

這裡的「庫」指的是「社工庫」（黑客通過技術手段獲取的用戶資料、賬號、密碼等信息的集合資料庫）。拖庫是指從社工庫中批量獲取一一對應的用戶名和密碼等信息。撞庫是指到目標網站中利用軟體程序對這些用戶名和密碼進行批量的登錄驗證。

簡單來說，拖庫、撞庫就是利用了用戶所有網站都用同一組用戶名、密碼註冊的習慣，採用苦工流的簡單技術，到不同網站去「撞大運」，如果能夠登錄成功，就獲得了用戶的信息和賬號。

對策：

（1）企業應當建立用戶行為識系統（UA模塊），通過對鍵盤、滑鼠等操作情況的分析、建模，識別批量登錄的機器行為和用戶正常行為的區別，在驗證的源頭遏制撞庫。

（2）企業應當對用戶登錄環境（PC或者移動端UMID、系統環境等）、登錄地區等進行安全驗證，在發現登錄環境、地區等慣常情況發生變化時，要求用戶進行雙重驗證，驗證失敗應及時鎖定賬戶。

（3）發現撞庫行為時，積極採取補救措施，通知相關用戶修改密碼。

2.黑客入侵

當企業的伺服器或者系統存在漏洞，或者管理員密碼發生泄漏時，黑客可以利用漏洞、密碼等對伺服器進行遠程登錄，並竊取伺服器內部的用戶信息。

對策：

發現情況後，及時保存伺服器日誌，如果是IDC，則應及時通知伺服器託管方。然後對安全日誌進行分析，排查漏洞、更換密碼，並對已泄密的信息採取必要的隔離措施。由於此時黑客入侵的行為已經涉嫌非法獲取、侵入計算機信息系統數據、侵犯公民個人信息罪，企業在後續行為中應當注重相關電子證據的搜集、保存程序要求，避免證據污染，同時搜集遭受損失的證據，在專業人士的指導下，向公安機關報案。

3.內部人泄露

能夠接觸、掌握到企業內部用戶信息的工作人員為謀取私利故意販賣信息。

對策：

（1）建立內部信息管理系統。核心信息存放在同一資料庫中，員工調取、查閱相關信息時以工號、密碼登錄，同時記錄員工行為並保存。出現信息泄露時，通過員工行為記錄進行倒查。

（2）建立員工行為規範（COC），進行數據分級管理，建立反舞弊舉報和內控制度。在出現故意販賣個人信息的行為時，注意收集客觀證據，對涉事員工進行調查談話，形成書面材料到公安機關進行控告。

最近頒布的《網路安全法》對互聯網企業在信息安全的合規問題上提出了極為嚴格的要求。企業不但要制定信息安全標準、檢測排查信息風險漏洞，在個人信息的收集、保管、披露、提供時都要獲得用戶授權，並且在信息發生泄漏時還要及時的補救並通知用戶、行政報備。企業如果違反上述規定，除罰款100萬元以下外，最高並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。如果企業在融資、IPO等重要節點出現信息泄露的問題，不但對企業的商業信譽造成重大影響還可能對企業的重大經營決策產生毀滅性的打擊，因此，通過合規、反舞弊等措施保障信息安全，不僅是對用戶的負責，也是對企業經營的長遠保障。

二、用戶方面

密碼管理、安全意識有待提高

答主在辦理的大量互聯網犯罪案件的過程中發現受害者往往存在以下共性：（1）密碼管理意識弱，一個密碼吃遍天。（2）對陌生鏈接、二維碼警惕性不高。（3）有意或者無意向對方提供手機驗證碼。（4）為獲取小利，因小失大。

防範建議：

1、關鍵賬戶使用不同密碼，切忌一碼通用。

2、陌生鏈接不點，陌生條碼不掃。

3、誤點鏈接發現木馬下載時立刻斷網。

4、不要在電腦上接受對方的遠程操作。

5、不要將自己帶有驗證碼的截圖發給對方（一元木馬案件中的嫌疑人的主要作案手段就是騙取帶有驗證碼的截圖）。

6、永遠不要因為任何原因向對方付錢，哪怕是1分錢（可能你以為你付的是1分錢，實際上是1萬元）。

以上建議均基於其他受害人的血淚教訓，請大家重視。

繼滴滴打車，蘋果中國後，又一網路企業爆出信息泄漏事故，不新鮮。

橫跨三個月的騙局，小紅書幹嘛去了？

這種嚴重的安全事件，不應該有超過兩個人反饋，官方就應該重視嗎？

用戶亂丟快遞單？這種事情發生不應該是安全部門跟進，通過各個渠道提醒已經消費的自及後來的消費者這個騙局嗎？直接把鍋甩給用戶，我怎麼想到了三星的套路。

不要大驚小怪的，之前京東泄露了12個G的用戶數據（後來又出來個京東內鬼泄露50億條用戶信息），身份證、用戶名、密碼、郵箱、QQ號，一應俱全，現在你看人家618不是一樣搞的火熱。

這種情況其實已經可以說見怪不怪了，網路安全法在公司販賣個人信息這一塊依舊無力。

見過太多個人扒數據之後到網上販賣，

見過更多的是小公司直接販賣或者「無意泄露」用戶信息。

即便採集到證據證明。信息就是從公司直接流出的，也依舊無法起訴公司，更何況起訴也打不贏。這就導致國內大小公司和個人在販賣個人信息這塊有恃無恐。即便人多被公訴，也絲毫不懼。

排查這個事情，第一點先看這些接到詐騙信息的人是不是同一個快遞公司的倉庫出來的。

第二查日誌，看有沒有漏洞

第三查內鬼

以前電商工作時候遇到過類似事件…

謝邀。

首先針對騙術，我有幾點想說的。

從查找到的資料可以看出，所謂的客服聯繫方式，往往是用qq或者電話，甚至有用信件的。如果真的是緊急通知，最先不應該先是官方把消息發給你的賬號嗎？甚至還有說留qq來聯繫了，一個做得也不算小的平台，怎麼會用第三方軟體來聯絡呢？

其次，遇到讓你轉賬，退款的消息，要千萬慎重。官方如果真的出錯了，不會強制你轉賬，更不可能用威脅的方式，這屬於失誤，是要他們自己負責的。

回到正題，互聯網時代，其實沒有什麼隱私可言的。只要有人是知道你所發布的信息的，你就很難保證不會被泄露。所以相關信息千萬不要隨意發布在對外公開的網頁上。只要自己的安全工作，防範意識都具備，是不會被輕易詐騙的。

像這種涉及客戶隱私的工作，工作人員的信譽必須要高，國內相關方面的系統其實還不算特別成熟，有待提高。中國人多，聰明人也多，又面臨緊張的就業壓力（雖然其實勞動力是短缺的，但人們往往想做的是高薪又體面的工作，才會導致這種看似矛盾），把智慧用在了歪道上，還是很令人悲哀的。

本人是沒有用過小紅書，但是從這一次次信息泄露，以及官方態度來看，如果不改變，不認真對待客戶的安全，是會不長久的。

謝邀。說實話我對小紅書不熟悉，因為信息量太大，而我本身就有選擇困難症…但關於信息泄露這種事情…屢見不鮮了，所以我一般不會在不相熟的地方留自己的個人信息，包括一些投票，只要是需要登錄輸入信息的，基本都是迴避，哪怕得罪誰。

有個故事不曉得大家聽過沒：刺蝟有個很重要的秘密，它把這個秘密告訴了兔子，再三叮囑兔子要守口如瓶，然後…它又如此這般的告訴並叮囑了猴子，狐狸，猩猩，松鼠…

後來大家都知道了刺蝟的秘密，刺蝟很惱火：到底是誰走漏了風聲呢？

早安

謝邀，but 我真的不知道這件事

謝邀，感覺就是對網路缺乏管理

這個我真不知道，捂臉 ♂?

我記得我大二的時候室友就被差不多的理由騙了當時是我在某寶上買了個相冊室友作為團支書想為班上做diy相冊就找我要了鏈接結果她買了之後收到簡訊說是商品有問題讓她退款..結局就是她被騙了一個月的生活費還好數額不大最後也就不了了之了這還是差不多三年前的事情了後來我們也質問過那家店為什麼把買家信息泄露他們就推脫是黑客監視了他們的電腦.....所以現在啊我們網購的時候都要注意了一定要及時確認信息的真實性

謝邀

至少在目前來看無論說是舉報，投訴甚至起訴什麼的還是沒有多大作用的。我國關於網路安全和網路監管的力度還是不足，用戶的信息究竟是被竊取的還是被出賣的很難有一個定性，這就決定了起訴肯定是沒有多大作用的。真正要解決的，一方面企業應該加強管理而另一方面，官方的統一監管也不能缺少。責任倒追機制和舉證責任倒置可以並行。讓企業在高壓之下，不得不提出切實可行的方案來維護用戶的隱私。最後就是用戶在使用消費的時候，盡量維護自己的信息安全，比如，快遞單，能不留地址就盡量不留，能不詳細就盡量不詳細，真實姓名盡量不要留，可以將經常網購用的銀行卡和信用卡等區分開，畢竟，在機制不夠完善下，自己學會保護自己的隱私才是最重要的。

謝邀，但居然有人會邀我，我都不敢相信，，，

這件事我不知道，但看了問題，我首先覺得這個軟體官方說「用戶快遞單亂扔」，我真心覺得搞笑。

不管法律責任在誰，這個官方這樣推諉責任，肯定是不對的，向用戶推諉，還用的如此尷尬的理由，讓人看完這個軟體的「責任心」，呵呵。

你可以推諉責任，

你可以說這些事與你無關

你可以鑽法律漏洞，甚至可能最後都不會有任何的利益損害，

但

你所說的話都將作為呈堂證供！

？？？

呸！！！

但

你再也無法得到你應得到的信任

這是代價。

所以現在的詐騙手段萬變不離其中，一旦掌握信息就能為非作歹，小紅書上面還是少買一點好，清醒對待網路信息呀！！！

好蠢的騙局，怎麼還有人上呢？

信息泄露來源於小紅書，行騙針對的也是小紅書用戶，小紅書自己有沒有沒做好安全防範？是如何給了行騙者機會，理應獲取企賠，或者與用戶協商；畢竟有Google工程師坐鎮主場，用戶信息安全有保障才對，良心企業首先考慮降低用戶損失到最低，為自己正名。總額在90W，覆蓋面積全國，時間發生比較久，立案偵破耗時耗力，企業不賠，用戶就要自己買單。

有人的地方就有江湖，有利益的地方就有交易，有交易的產生就有供需關係，有供需關係就會產生2次及多次的交易，這些就是經濟發展的產物。看看電信詐騙案，看看個人的銀行信息泄露案件，再到公民的個人信息販賣案件，太多了，他媽的，我一天能接5個左右的樓盤保險商鋪的電話銷售電話，外加兩個詐騙信息，信息怎麼泄露出去的，就是因為有人在販賣，利益產生交易，不要慌，不要急，隨著大數據 AI技術的應用，你的信息會被販賣的更加頻繁

謝邀，但是我真不知道這事

（謝邀）。我認為就小紅書而言，這是一種很正常的事，因為現在的網路購物依然處於一種不穩定性狀態，而且網路的不確定性是很強大的，因為現在大多網站，遊戲都是需要實名註冊的，而這些資料，某些商家則會去賣給這些騙子，然後騙子就會來做出這樣的舉動，歸根結底的來說，這種事還是由於人們對於網路的過於信任以及網路對買家的不負責。