3月23日，當(dāng)當(dāng)網(wǎng)運(yùn)營高級(jí)總監(jiān)梁健鵬很意外地發(fā)現(xiàn)，從19日晚22點(diǎn)到22日24點(diǎn)這74個(gè)小時(shí)里，當(dāng)當(dāng)網(wǎng)所有被凍結(jié)了賬戶的用戶中只有6位致電當(dāng)當(dāng)網(wǎng)反映自己的賬戶異常。

另一個(gè)數(shù)據(jù)令梁健鵬更感蹊蹺。19日當(dāng)當(dāng)網(wǎng)給大約50萬賬戶上有余額和禮品卡的用戶發(fā)出了短信、郵件。按照他們自己的設(shè)想，至少要有80%的客戶會(huì)去修改自己的密碼。但實(shí)際上這三天的數(shù)據(jù)顯示，只有不到5%的用戶更改了自己的密碼。

當(dāng)當(dāng)網(wǎng)冒著商譽(yù)受損的巨大風(fēng)險(xiǎn)作出全網(wǎng)凍結(jié)賬戶的決策，卻得到這個(gè)令人大跌眼鏡的結(jié)果，這是一次被誤判的危機(jī)嗎？又是什么原因促使當(dāng)當(dāng)網(wǎng)CEO李國慶緊急作出這個(gè)決定，之后的74個(gè)小時(shí)中又發(fā)生了什么？

端倪

當(dāng)當(dāng)網(wǎng)用戶賬戶異常的現(xiàn)象早在一個(gè)月前就已經(jīng)出現(xiàn)端倪。

據(jù)當(dāng)當(dāng)網(wǎng)客戶服務(wù)中心負(fù)責(zé)人梁健鵬回憶，2月份里有幾起零星的用戶投訴，稱自己的密碼失效或者登錄不進(jìn)去。

當(dāng)當(dāng)網(wǎng)臨時(shí)制定了幾個(gè)針對(duì)性的措施幫助用戶恢復(fù)正常使用。但由于距離CSDN賬戶被盜已經(jīng)過去了兩個(gè)月，兩家網(wǎng)站的大部分用戶重合度不高，且CSDN是用戶大規(guī)模泄密，而當(dāng)時(shí)當(dāng)當(dāng)網(wǎng)僅僅是幾個(gè)用戶出現(xiàn)了異常，因此當(dāng)當(dāng)網(wǎng)并不敢斷定用戶的賬戶異常就一定與CSDN事件有關(guān)。

當(dāng)時(shí)當(dāng)當(dāng)網(wǎng)分析推斷，有可能是用戶自己平時(shí)不夠謹(jǐn)慎泄露了自己的賬戶信息——例如在公共場合上網(wǎng)，或者是泄露給了自己的親友，泄露了賬號(hào)和密碼。因此只采取了在首頁上公告提醒用戶，由于CS-DN事件，請(qǐng)用戶更改登陸密碼確保自己賬戶安全。

此后相當(dāng)“安靜”，3月的第一個(gè)星期里幾乎沒有什么事情發(fā)生。

但到了3月的第二個(gè)星期，突然開始有很多用戶向當(dāng)當(dāng)投訴，反映自己的賬戶異常，無法登錄、金額不對(duì)，或者是出現(xiàn)了陌生的訂單，有的時(shí)候一天多達(dá)二三十個(gè)投訴電話。當(dāng)當(dāng)網(wǎng)的客服和技術(shù)人員都已經(jīng)意識(shí)到事情并不那么簡單，情況比想象中的要嚴(yán)重得多。

他們?cè)诩泳o研究對(duì)策方案的同時(shí)第一時(shí)間向當(dāng)當(dāng)網(wǎng)的大當(dāng)家CEO李國慶匯報(bào)了此事。

凍結(jié)所有用戶賬戶中的余額和禮品卡，是19日早上當(dāng)當(dāng)網(wǎng)CEO李國慶召集的一次多部門會(huì)議上做出的決定——這次由客服中心、技術(shù)部、法務(wù)部和運(yùn)作部各部門責(zé)任者共七人參與的緊急會(huì)議事實(shí)上在當(dāng)天上午和下午召開了兩次，上午的會(huì)議由李國慶親自拍板，決定凍結(jié)所有有禮品卡和余額的賬戶，通過短信和郵件的方式通知所有用戶上網(wǎng)改密碼，所有用戶損失當(dāng)當(dāng)來補(bǔ)償，以及向公安機(jī)關(guān)報(bào)警。

19日下午，李國慶再次召開會(huì)議，匯總了各項(xiàng)決定執(zhí)行的情況，并且立刻著手布置付款流程的改進(jìn)——付款前要用手機(jī)接收驗(yàn)證碼。李國慶看到的數(shù)據(jù)是，從2月中旬到3月19日凍結(jié)用戶賬戶前，報(bào)告上來的賬戶異常共197例，損失賬戶的金額從幾十到數(shù)百不等，只有極個(gè)別賬戶金額較高。

當(dāng)當(dāng)網(wǎng)隨后發(fā)布公開聲明承認(rèn)部分用戶賬戶被盜的事實(shí)。李國慶指示，要通過短信、郵件等一切方式通知所有用戶趕緊到當(dāng)當(dāng)網(wǎng)上來更改密碼，并檢查自己的賬戶是否有被盜用，以減少用戶和當(dāng)當(dāng)自己的損失——盡管法務(wù)部認(rèn)為當(dāng)當(dāng)可能不需要負(fù)擔(dān)完全責(zé)任，但李國慶堅(jiān)持損失的賬戶要全額、分批補(bǔ)償，計(jì)劃時(shí)間期限是兩個(gè)星期，當(dāng)然，要在核實(shí)該用戶確實(shí)受到了損失之后。

這個(gè)時(shí)候李國慶和他的團(tuán)隊(duì)面對(duì)的首要棘手問題是，究竟有多少用戶賬號(hào)被盜，損失究竟有多少？對(duì)于這家互聯(lián)網(wǎng)公司來講，只能通過自家網(wǎng)站公告、短信和郵件的方式提醒用戶登錄自己的賬號(hào)，更改新密碼并檢查禮品卡、賬戶余額是否有異常。事實(shí)上，他們最擔(dān)心的是用戶被盜但是還未曾察覺。

而另一個(gè)棘手的問題是，這些被盜的錢和損失怎么辦——如果是已經(jīng)發(fā)生的訂單，當(dāng)當(dāng)網(wǎng)不僅損失了貨品，還要補(bǔ)償給用戶，相當(dāng)于雙倍的損失。

李國慶認(rèn)為，盡管在法理上也許當(dāng)當(dāng)網(wǎng)不需要全部責(zé)任，但在情理上當(dāng)當(dāng)網(wǎng)卻不能辜負(fù)用戶的信任，必須全額補(bǔ)償——即使是幾百萬元。

李國慶希望能在三天的時(shí)間里，讓大部分用戶把自己的密碼更新完。他下如此大的決心和成本凍結(jié)所有有資金、禮品卡賬戶的原因，也許是由于中國用戶對(duì)密碼的安全性的重視程度猶如A4紙的顏色一樣淺。

禍起弱密碼

根據(jù)當(dāng)當(dāng)網(wǎng)的判斷，是一些不法分子盜取了用戶的賬戶和密碼進(jìn)行操作。事實(shí)上對(duì)一些稍微懂技術(shù)的人來講這很容易，現(xiàn)在很多用戶在不同的網(wǎng)站上使用了相同的賬戶名和密碼，給犯罪分子留下了盜取的機(jī)會(huì)。

國內(nèi)最大的網(wǎng)絡(luò)安全廠商360安全中心在2011年年底曾發(fā)布過一次《密碼安全指南》，根據(jù)國內(nèi)流行的密碼破解字典軟件破解列表，整理總結(jié)出中國網(wǎng)民最常用的25個(gè)“弱密碼”。

根據(jù)360安全專家給本報(bào)提供的資料，中國網(wǎng)民常用的TOP25“弱密碼”中，有9個(gè)與國外網(wǎng)民使用習(xí)慣完全相同。其中，除password、abc123、iloveyou、qwerty等全球網(wǎng)民通用“弱密碼”外，其余均為數(shù)字組合。

而簡單的數(shù)字組合，似乎更是中國網(wǎng)民最愛，占了榜單近半數(shù)。比如“666666”和“888888”這樣的吉利數(shù)，幾乎是所有中國黑客密碼字典中的必備項(xiàng)，而“5201314”（我愛你一生一世）顯然被國人寄予了濃厚的感情色彩，為中國特色“弱密碼”。

網(wǎng)民常用的“弱密碼”主要包括簡單數(shù)字組合、順序字符組合、臨近字符組合以及特殊含義組合等四大類別。而從中國版“弱密碼”榜單來看，國內(nèi)網(wǎng)民更習(xí)慣設(shè)置6位字符密碼。TOP25中竟有18個(gè)是6位字符，所占比例高達(dá)72%。此外，“a1b2c3”和“p@ssword”這類組合型密碼看似復(fù)雜，其實(shí)也在黑客重點(diǎn)關(guān)注的密碼列表中。

如果系統(tǒng)賬號(hào)或其他網(wǎng)絡(luò)賬號(hào)采用上述“弱密碼”，很容易被黑客利用密碼字典自動(dòng)“蒙中”，從而造成個(gè)人隱私信息泄漏甚至財(cái)產(chǎn)損失。

李國慶試圖通過這三天的賬戶凍結(jié)讓80%的當(dāng)當(dāng)網(wǎng)用戶都來為自己的賬戶設(shè)置一個(gè)高強(qiáng)度的密碼。然而三天下來，6個(gè)用戶報(bào)告賬戶異常和僅有不到5%的用戶更改密碼這個(gè)事實(shí)卻令人大跌眼鏡。

究竟是什么原因讓客戶不去關(guān)心自己賬戶中的財(cái)產(chǎn)？

也許是因?yàn)橘~戶中的錢款數(shù)額比較少，也許是因?yàn)橐恍┯脩暨�沒收到當(dāng)當(dāng)網(wǎng)賬戶可能被盜的消息，也許是因?yàn)槎Y品卡得來全不費(fèi)工夫，也許——他們不在乎的原因，恰恰是一個(gè)令當(dāng)當(dāng)網(wǎng)員工不愿意相信的、但可能性很高的一個(gè)原因——李國慶的“全額補(bǔ)償”承諾。如果丟了也跟沒丟一樣，為什么要費(fèi)事再去改個(gè)密碼？