3月23日，當(dāng)當(dāng)網(wǎng)運營高級總監(jiān)梁健鵬很意外地發(fā)現(xiàn)，從19日晚22點到22日24點這74個小時里，當(dāng)當(dāng)網(wǎng)所有被凍結(jié)了賬戶的用戶中只有6位致電當(dāng)當(dāng)網(wǎng)反映自己的賬戶異常。

另一個數(shù)據(jù)令梁健鵬更感蹊蹺。19日當(dāng)當(dāng)網(wǎng)給大約50萬賬戶上有余額和禮品卡的用戶發(fā)出了短信、郵件。按照他們自己的設(shè)想，至少要有80%的客戶會去修改自己的密碼。但實際上這三天的數(shù)據(jù)顯示，只有不到5%的用戶更改了自己的密碼。

當(dāng)當(dāng)網(wǎng)冒著商譽受損的巨大風(fēng)險作出全網(wǎng)凍結(jié)賬戶的決策，卻得到這個令人大跌眼鏡的結(jié)果，這是一次被誤判的危機(jī)嗎？又是什么原因促使當(dāng)當(dāng)網(wǎng)CEO李國慶緊急作出這個決定，之后的74個小時中又發(fā)生了什么？

端倪

當(dāng)當(dāng)網(wǎng)用戶賬戶異常的現(xiàn)象早在一個月前就已經(jīng)出現(xiàn)端倪。

據(jù)當(dāng)當(dāng)網(wǎng)客戶服務(wù)中心負(fù)責(zé)人梁健鵬回憶，2月份里有幾起零星的用戶投訴，稱自己的密碼失效或者登錄不進(jìn)去。

當(dāng)當(dāng)網(wǎng)臨時制定了幾個針對性的措施幫助用戶恢復(fù)正常使用。但由于距離CSDN賬戶被盜已經(jīng)過去了兩個月，兩家網(wǎng)站的大部分用戶重合度不高，且CSDN是用戶大規(guī)模泄密，而當(dāng)時當(dāng)當(dāng)網(wǎng)僅僅是幾個用戶出現(xiàn)了異常，因此當(dāng)當(dāng)網(wǎng)并不敢斷定用戶的賬戶異常就一定與CSDN事件有關(guān)。

當(dāng)時當(dāng)當(dāng)網(wǎng)分析推斷，有可能是用戶自己平時不夠謹(jǐn)慎泄露了自己的賬戶信息——例如在公共場合上網(wǎng)，或者是泄露給了自己的親友，泄露了賬號和密碼。因此只采取了在首頁上公告提醒用戶，由于CS-DN事件，請用戶更改登陸密碼確保自己賬戶安全。

此后相當(dāng)“安靜”，3月的第一個星期里幾乎沒有什么事情發(fā)生。

但到了3月的第二個星期，突然開始有很多用戶向當(dāng)當(dāng)投訴，反映自己的賬戶異常，無法登錄、金額不對，或者是出現(xiàn)了陌生的訂單，有的時候一天多達(dá)二三十個投訴電話。當(dāng)當(dāng)網(wǎng)的客服和技術(shù)人員都已經(jīng)意識到事情并不那么簡單，情況比想象中的要嚴(yán)重得多。

他們在加緊研究對策方案的同時第一時間向當(dāng)當(dāng)網(wǎng)的大當(dāng)家CEO李國慶匯報了此事。

凍結(jié)所有用戶賬戶中的余額和禮品卡，是19日早上當(dāng)當(dāng)網(wǎng)CEO李國慶召集的一次多部門會議上做出的決定——這次由客服中心、技術(shù)部、法務(wù)部和運作部各部門責(zé)任者共七人參與的緊急會議事實上在當(dāng)天上午和下午召開了兩次，上午的會議由李國慶親自拍板，決定凍結(jié)所有有禮品卡和余額的賬戶，通過短信和郵件的方式通知所有用戶上網(wǎng)改密碼，所有用戶損失當(dāng)當(dāng)來補償，以及向公安機(jī)關(guān)報警。

19日下午，李國慶再次召開會議，匯總了各項決定執(zhí)行的情況，并且立刻著手布置付款流程的改進(jìn)——付款前要用手機(jī)接收驗證碼。李國慶看到的數(shù)據(jù)是，從2月中旬到3月19日凍結(jié)用戶賬戶前，報告上來的賬戶異常共197例，損失賬戶的金額從幾十到數(shù)百不等，只有極個別賬戶金額較高。

當(dāng)當(dāng)網(wǎng)隨后發(fā)布公開聲明承認(rèn)部分用戶賬戶被盜的事實。李國慶指示，要通過短信、郵件等一切方式通知所有用戶趕緊到當(dāng)當(dāng)網(wǎng)上來更改密碼，并檢查自己的賬戶是否有被盜用，以減少用戶和當(dāng)當(dāng)自己的損失——盡管法務(wù)部認(rèn)為當(dāng)當(dāng)可能不需要負(fù)擔(dān)完全責(zé)任，但李國慶堅持損失的賬戶要全額、分批補償，計劃時間期限是兩個星期，當(dāng)然，要在核實該用戶確實受到了損失之后。

這個時候李國慶和他的團(tuán)隊面對的首要棘手問題是，究竟有多少用戶賬號被盜，損失究竟有多少？對于這家互聯(lián)網(wǎng)公司來講，只能通過自家網(wǎng)站公告、短信和郵件的方式提醒用戶登錄自己的賬號，更改新密碼并檢查禮品卡、賬戶余額是否有異常。事實上，他們最擔(dān)心的是用戶被盜但是還未曾察覺。

而另一個棘手的問題是，這些被盜的錢和損失怎么辦——如果是已經(jīng)發(fā)生的訂單，當(dāng)當(dāng)網(wǎng)不僅損失了貨品，還要補償給用戶，相當(dāng)于雙倍的損失。

李國慶認(rèn)為，盡管在法理上也許當(dāng)當(dāng)網(wǎng)不需要全部責(zé)任，但在情理上當(dāng)當(dāng)網(wǎng)卻不能辜負(fù)用戶的信任，必須全額補償——即使是幾百萬元。

李國慶希望能在三天的時間里，讓大部分用戶把自己的密碼更新完。他下如此大的決心和成本凍結(jié)所有有資金、禮品卡賬戶的原因，也許是由于中國用戶對密碼的安全性的重視程度猶如A4紙的顏色一樣淺。

禍起弱密碼

根據(jù)當(dāng)當(dāng)網(wǎng)的判斷，是一些不法分子盜取了用戶的賬戶和密碼進(jìn)行操作。事實上對一些稍微懂技術(shù)的人來講這很容易，現(xiàn)在很多用戶在不同的網(wǎng)站上使用了相同的賬戶名和密碼，給犯罪分子留下了盜取的機(jī)會。

國內(nèi)最大的網(wǎng)絡(luò)安全廠商360安全中心在2011年年底曾發(fā)布過一次《密碼安全指南》，根據(jù)國內(nèi)流行的密碼破解字典軟件破解列表，整理總結(jié)出中國網(wǎng)民最常用的25個“弱密碼”。

根據(jù)360安全專家給本報提供的資料，中國網(wǎng)民常用的TOP25“弱密碼”中，有9個與國外網(wǎng)民使用習(xí)慣完全相同。其中，除password、abc123、iloveyou、qwerty等全球網(wǎng)民通用“弱密碼”外，其余均為數(shù)字組合。

而簡單的數(shù)字組合，似乎更是中國網(wǎng)民最愛，占了榜單近半數(shù)。比如“666666”和“888888”這樣的吉利數(shù)，幾乎是所有中國黑客密碼字典中的必備項，而“5201314”（我愛你一生一世）顯然被國人寄予了濃厚的感情色彩，為中國特色“弱密碼”。

網(wǎng)民常用的“弱密碼”主要包括簡單數(shù)字組合、順序字符組合、臨近字符組合以及特殊含義組合等四大類別。而從中國版“弱密碼”榜單來看，國內(nèi)網(wǎng)民更習(xí)慣設(shè)置6位字符密碼。TOP25中竟有18個是6位字符，所占比例高達(dá)72%。此外，“a1b2c3”和“p@ssword”這類組合型密碼看似復(fù)雜，其實也在黑客重點關(guān)注的密碼列表中。

如果系統(tǒng)賬號或其他網(wǎng)絡(luò)賬號采用上述“弱密碼”，很容易被黑客利用密碼字典自動“蒙中”，從而造成個人隱私信息泄漏甚至財產(chǎn)損失。

李國慶試圖通過這三天的賬戶凍結(jié)讓80%的當(dāng)當(dāng)網(wǎng)用戶都來為自己的賬戶設(shè)置一個高強度的密碼。然而三天下來，6個用戶報告賬戶異常和僅有不到5%的用戶更改密碼這個事實卻令人大跌眼鏡。

究竟是什么原因讓客戶不去關(guān)心自己賬戶中的財產(chǎn)？

也許是因為賬戶中的錢款數(shù)額比較少，也許是因為一些用戶還沒收到當(dāng)當(dāng)網(wǎng)賬戶可能被盜的消息，也許是因為禮品卡得來全不費工夫，也許——他們不在乎的原因，恰恰是一個令當(dāng)當(dāng)網(wǎng)員工不愿意相信的、但可能性很高的一個原因——李國慶的“全額補償”承諾。如果丟了也跟沒丟一樣，為什么要費事再去改個密碼？