[记者手记]账号被盗频发，只怪不改密码的用户吗

by Lee Seungjin

Published 03 Feb.2023 07:38(KST)

Updated 23 Jul.2023 16:41(KST)

open/close

[亚洲经济记者 Lee Seungjin] 账号被盗用的受害案例正在不断涌现。发生受害的各服务负责人无一例外地只是一再敦促用户更改密码、检查个人安全水平。然而在平台泛滥的时代，人们连自己是否注册过都已遗忘的账号就有几十个。与其一味把责任推给个人，现在更应由平台自身拿出防止账号被盗用的对策。

账号被盗几乎已成日常。迎来上线第11年的Naver“Band”是韩国代表性的社区服务。截至去年8月，累计Band数量达5300万个，累计帖子数量高达61亿条。Naver计划把Band的社区能力应用并扩展到各种全球化服务中。

但在此之前，应先解决账号被盗问题。某个拥有约1000名成员的Band社区，数周以来没有新的帖子发布，但加入成员却每天都在增加。特别之处在于，新增成员的昵称全部相同，部分连头像照片都一模一样。这些全都是被盗用的账号。尽管如此，该Band仍未受到任何服务制裁而被任其放任。在累计5300万个Band中，至少有一个是由被盗账号构成的社区。

这些被盗账号是遭遇了所谓“凭证填充”（Credential Stuffing）手法。即将已经泄露或事先窃取的账号和密码，随机输入到其他平台，以窃取个人信息的方式。数百、数千人的账号被盗用后，被用于成人广告等非法活动，但账号本人却对此一无所知。如果平台能通过任何方式告知其账号已被盗用，用户本可以及时采取应对措施。

平台运营方在账号被盗问题上也有其“委屈”之处，因为他们为提升自身安全能力投入了天文数字般的成本，并表示无法阻止外部发生的个人信息泄露。然而，对明摆着的账号被盗情况听之任之，则是另一回事。对疑似被盗用的账号及由这些账号构成的社区进行积极制裁，完全是平台运营方的责任。

上个月，Gmarket发生了因账号被盗导致的金钱损失事件。Gmarket在受害发生10天之后，才通过公告表示将进行赔偿并制定防止再次发生的对策。随着争议迅速扩散，电商行业这才开始匆忙制定防止账号被盗的对策。