国内电商网站“美丽说”曝出用户信息泄露事件。近日，多位“美丽说”用户向中国网财经记者反映，其用户信息、订单信息和支付信息遭泄露，骗子正在利用这些个人信息进行诈骗。而被骗金额最多的受害者，被骗走5万余元，受害者中不乏无稳定收入的学生。

对此，“美丽说”负责人表示“经过排查，信息泄露的原因并不在我们网站。”

但值得注意的是，去年8月，漏洞公布平台乌云网曾发布“美丽说”网站高危安全漏洞，“美丽说”方面却选择忽略。网络安全专家龚蔚认为，此次用户信息泄露与上述漏洞或存在联系。

多位“美丽说”用户受骗

据受骗者裘小姐介绍，2014年12月31日接到号码为4000800577(美丽说客服电话)的来电，对方声称是“美丽说”客服人员，准确地说出了她的姓名、电话、地址、购买商品信息，以及支付方式。

“客服”表示，新员工因为整理资料失误，把用户加入批发商名单，然后每个月会从用户银行里面扣除500元，扣12个月，并询问是否需要取消。

裘小姐确认取消的几分钟后，接到了自称是农业银行的电话。骗子假装农行人员，要求他去农行ATM，按照其的指令进行取消。但实际操作却是，让裘小姐将卡里的钱转账给指定账户。

事后，裘小姐就意识到可能被骗了，但为时已晚。“他们说得特别专业，比银行人员还专业，当时我脑袋转不过弯，钱就一下子没了。”裘小姐表示。

同时，在微博中也有众多网友反应了与裘小姐相似的被骗经历。记者采访到了其中7位受害者，网友“一鹿随鹿”被骗金额最多，共计5万余元。受害者中，有多位是还在上学的学生。目前，受害者已报警。

对此，“美丽说”客服表示，用户接到的客户电话是伪造的，并非真正的客服电话，最近接到多起此类诈骗投诉的反馈。

但当中国网财经记者问起反馈的具体数量时，“美丽说”相关负责人以“正在协助公安机关调查”为由，谢绝回答。

工程师忽略网站高危漏洞？

追悔之余，用户最为气愤的是“为何骗子能掌握其准确的个人信息、订单信息和支付信息？”，并质疑“美丽说”网站泄露了这些信息。

对于质疑，“美丽说”相关负责人解释称“经过排查，信息泄露不是我们网站安全的原因。但我们还在配合公安机关调查，所以证据也没有办法向外公布。”

然而，这种说法似乎并不得到业内人士的信任。

2014年8月11日，漏洞公布平台乌云网称发布高危安全漏洞——《美丽说主库SQL及N多root权限数据库配置信息泄露》。漏洞发布者称此漏洞可导致获得企业各种数据库。

著名网络安全专家龚蔚也证实了此漏洞的真实性。“域名下的数据库最高权限和全部数据库，都被获取。”龚蔚向中国网财经记者表示，“据判断，美丽说主站上有一个存放配置文件的目录，文件里就有链接数据库的密码、地址、端口等信息。但这个文件没有加访问权限，还是明文显示，致使不该看到的人看到了(配置)。”

“这是一个低级的漏洞。”龚蔚看来。

然而，就是这样一个“低级的漏洞”，美丽说网站工程师当时的回复却是“无影响 厂商忽略”。

对此，“美丽说”方面拒绝置评。

据官网介绍，“美丽说”网站拥有超过1亿的注册用户。

“对于轻视用户安全的企业，被曝出问题是迟早现象。”龚蔚认为。

律师：可要求赔偿

按照《网络交易管理办法》第十八条规定：网络商品经营者、有关服务经营者应当采取技术措施和其他必要措施，确保信息安全，防止信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。

那么，因用户信息泄露而被骗的受害者，可否要求企业进行赔偿？

“首先要分清楚，是主观故意泄露，还是技术漏洞导致。如果是第一种情况，很有可能构成犯罪。因为刑法里对获取个人信息进行牟利的行为有专门的规定。但由于技术原因或是网络攻击导致的，法律上是没有明确的赔偿比例。需要根据具体表现，由法院综合进行裁量。”浙江金道律师事务所张延来律师向中国网财经记者表示。

在张律师看来，如果“美丽说”在保护措施上非常不完备，未达到同行业的标准，有明显的漏洞的话，那么可要求其承担相应的法律责任。

同时，张律师也对受害者给出建议，“对于当事人，最重要的就是证据。首先，要证明与美丽说之间是有信息采集关系。其次，证明企业出现这样的漏洞，而漏洞导致了信息泄露。第三，证明因为信息泄露给当事人带来怎样的损失。要尽可能提供充分的证据，然后寻求专业人士的帮助进行维权。”