小紅書購物信息遭泄露 用戶遭遇新型詐騙

1

從這些小紅書用戶被騙的經歷看，誘騙用戶在網路借貸平台操作信用借款是一種新型詐騙手法，對於被騙子利用的網路借貸平台，在用戶需要調取相關借貸記錄時，也有義務配合提供

50名小紅書用戶，在今年3月至5月陸續接到假客服電話後上當受騙，受騙總金額近88萬元。

這是近期鬧得沸沸揚揚的小紅書用戶信息泄露事件造成的損害後果，而這組數據僅是媒體初步統計所得，多個受訪者對法治周末記者表示，從微博、論壇中可以看到，還有更多用戶接到或者正在接到詐騙電話，實際受害人數和損失金額很可能遠多於此。

驚訝之餘，事件背後的一系列疑團也有待解開：用戶信息是怎麼泄露的？受害者是如何被騙的？受害者的損失誰來承擔？

公開資料顯示，小紅書是一家創辦於2013年6月的社區電商平台，主營UGC(用戶原創內容)模式的海外購物分享社區和跨境電商「福利社」，其運營主體為行吟信息科技(上海)有限公司。

「你是不是前一陣子在小紅書上買了資生堂的防晒霜？」布吉(化名)怎麼也不會想到，6月8日接到的這通小紅書「客服」電話竟是噩夢的開始。

布吉告訴法治周末記者，他5月底確實曾在小紅書為女友購買過一瓶資深堂防晒霜，花費195元。

「起初我看到是用手機號撥打的還有些懷疑，客服打電話為什麼不用座機？但後來聽到他報出了詳細的交易清單，還包括我購買商品的具體時間，甚至精確到了分、秒，我的懷疑才逐漸打消。」布吉邊向記者展示防晒霜的訂單號邊說，「他告訴我說產品存在質量問題，要對產品集中召回實施理賠退款。」

法治周末記者注意到，其他受騙者的遭遇和經歷也極其相似，都是在小紅書上購物后，收到自稱是「小紅書客服」的電話，對方以商品存在質量問題要賠付退款為由，誘導消費者落入陷阱。有的消費者甚至還在接到電話后，還收到了「更為正式」的通知書。

「尊敬的用戶，由於您近期在我們店鋪購買的商品出現質量問題，現需全部退回。請通過我們合作的第三方平台：招聯好期貸、螞蟻借唄、來分期，掃二維碼進行接收賠付款……」記者從大學生張艷(化名)收到的通知書上看到，通知書左上角有小紅書標識，行文格式很正式。

值得注意的是，通知書詳細地指出了退款的操作流程：「第三方合作平台預先把店鋪金額退還到您的支付寶餘額上，您再進行還款。」

「意思就是他們會多退錢，我收到錢后，扣除商品費用，把剩餘的錢再給對方還回去。」已經受騙的張艷還原當時的打款情形。

那麼，「多退錢」是如何實現的呢？從用戶受騙的經歷看，多是藉助網路借貸平台，而這些被利用的平台包括螞蟻借唄、來分期、馬上金融、360借條等。

據此前媒體統計，上述50名受害用戶中，通過來分期有20人被騙，通過螞蟻借唄有14人被騙。

布吉就是通過螞蟻借唄被騙的。據了解，螞蟻借唄是支付寶推出的一款貸款服務，目前的申請門檻是芝麻分在600以上。按照分數的不同，用戶可以申請到1000元至300000元不等的貸款額度。

布吉告訴記者：「當時『客服』跟我說需要通過支付寶的芝麻信用來賠付，按照他的指引，我找到了『螞蟻借唄』選項，點進去看到頁面顯示出2萬元的額度，他跟我說這是他們給我的賠償資金，我需要點擊提取。」

布吉對於195元的商品賠付2萬元有些疑惑，就進一步詢問「客服」，「客服」稱小紅書有一個第三方資金保障平台，存有維權基金，遇到化妝品質量問題都可以得到相應賠付。

「『客服』說他們會先通過支付寶添加用戶為好友，然後將基金剩餘的額度都打給用戶，用戶收到后自行扣留商品退款，再將剩餘額度打回給基金賬戶。」布吉向記者出示當時其與「客服」的聊天記錄，記者在「客服」發送的一張名為「賬單詳情」的圖片中看到，其向布吉支付寶轉賬2萬元並在轉賬說明中寫著「借唄金融維權打款」。

按照「客服」指引，布吉通過螞蟻借唄「提取」了2萬元資金。

在聊天記錄中，「客服」還向布吉提示：「款項已為您打到借唄金融賬戶，稍後將款項借出后，扣除買家商品價格，其餘款項掃描下方二維碼退還至支付寶總賬戶，給您帶來的不便敬請諒解。」

「交談過程對方一直都很誠懇，我沒考慮那麼多就掃描二維碼給對方轉回了19805元，後來我才知道賬單詳情的圖片是偽造的，那所謂的2萬元維權基金是我在螞蟻借唄的借款額度，我的『提取』其實是向螞蟻借唄借了錢，而那個二維碼是個付款鏈接。」布吉反覆琢磨后，終於想明白了自己是怎麼被騙的。

法治周末記者了解到，用戶通過其他網路借貸平台的受騙經歷也類似，都是誤將信用額度當作是賠付款，誤把申請成功信用借款當作是提取賠付款，再通過掃描付款二維碼將借款「主動」打給騙子。

在互聯網分析人士庄帥看來，騙子這種利用網路借貸平台為行騙工具的做法，之所以能夠得逞，主要是利用了人們對網購退款流程和新型網路消費金融平台不熟悉的弱點。

「之前沒用過，確實是不了解網路借貸。但我們之所以會相信騙子，還是因為他掌握了我所有的交易信息，這些核心信息提供后，大部分人也都會以為騙子是小紅書的真客服。」張艷認為，騙子得逞的關鍵是掌握了用戶的交易清單，取得用戶信任，「估計是小紅書泄露了我們的信息」。

6月19日，法治周末記者在微博搜索發現，#小紅書用戶被騙#的話題閱讀量已近75萬，不少接到詐騙電話的用戶都質疑小紅書泄露用戶信息。

對於用戶質疑，法治周末記者聯繫小紅書相關工作人員詢問，對方表示：「目前小紅書正配合警方調查部分用戶信息泄露的原因，在網購過程中，所有接觸到用戶信息的環節，從第三方商家、手機軟體到物流快遞，都存在信息泄露的可能性。在用戶的反饋里，我們了解到一些用戶在多個網站使用相同賬戶和密碼，犯罪分子通過其他渠道盜取用戶信息后，可能會『撞庫』攻擊到該用戶的小紅書賬戶。」

「受騙者那麼多，遍布全國各地，收貨地址不同，這種批量泄露不可能是用戶自己泄露的。」布吉並不認同小紅書給出的理由。

在長期關注互聯網法律問題的三晉律師事務所律師高萬國看來，電商平台大批量出現用戶信息泄露問題，可能是平台存在系統漏洞被黑客攻擊后竊取用戶信息，也可能是內部人員泄露用戶個人信息。

那麼，基於信息泄露導致的用戶被騙，該由誰承擔責任呢？

「最直接的責任承擔者肯定是電信詐騙的實施者，但這種案件受害者遍布全國各地，立案管轄比較零散，且詐騙產業鏈已比較成熟，偵破存在一定的難度。」高萬國說。

上述小紅書工作人員告訴記者，小紅書已就用戶被騙事件第一時間向上海市公安局黃浦分局報案，全力幫助用戶，配合公安機關追回用戶損失，「我們還聯合支付寶官方凍結了7個賬號，幫助用戶追回款項共計28萬餘元」。

在電子商務研究中心研究員姚建芳看來，電商平台會獲取個人信息，他們有義務保護用戶信息，對於因用戶信息泄露導致的後續損失，電商平台也有責任配合取證。

根據6月1日起實施的網路安全法相關規定，網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、損毀、丟失；在發生或可能發生個人信息泄露、損毀、丟失的情況時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。

「從收到第一起投訴開始，我們就盡全力和用戶一起降低損失。除了在APP的訂單頁面等多處位置顯示防詐騙提醒外，還多次簡訊提醒異常登錄的用戶更改賬號密碼，防止他們的賬戶信息被不法分子利用。」上述小紅書負責人說道。

姚建芳認為，現在問題的關鍵之一還是找到信息泄露的源頭，對於非法出售或提供個人信息的，可要求其承擔刑事責任。

高萬國則認為，從這些小紅書用戶被騙的經歷看，誘騙用戶在網路借貸平台操作信用借款是一種新型詐騙手法，對於被騙子利用的網路借貸平台，在用戶需要調取相關借貸記錄時，也有義務配合提供。