域名失窃当天,刘先生曾收到平台推送的多条交易提示短信。
近年来,互联网域名价值逐年走高,部分投资者通过炒卖域名获益丰厚。日前,东莞网络从业者刘先生名下63个域名一夜之间被盗,随后部分域名被转卖。刘先生自称,按照当前市场价值,他的失窃域名总价值过千万元。
令当事人困惑的是,由于互联网域名交易全部实行电子账户交易,谁掌握了账户密码和注册登记的个人信息,谁就可以将之出售,这让他无法寻求有效的途径追回资产。有关专家认为,互联网域名失窃时有发生,包括国内一些知名网站,一旦失窃维权困难重重。由于至今没有绝对成熟的技术可以防范,因此,除了所有人灵活机动地进行安全设置之外,也建议交易平台修改交易规则。
噩耗:千万资产一夜失窃
刘先生是东莞一名票务网站工程师。十余年来,他通过自己对互联网域名市场的认知,购入了63个域名。刘先生说,按照当下市场行情,这些域名总价值过千万元。曾有不少人出价向刘先生购域名,但是他却一个也没卖过。“因为好记、符号组合简单的域名属于稀有资产,价格只涨不跌,所以不打算卖。”刘先生说。但让他没想到的是,这笔稀有资产一夜之间蒸发了。
本月8日下午,他收到一条短信提醒:“有人试图进入域名账户,如果不是本人,请加紧注意。”刘先生告诉记者,多年来总是有一些人试图侵入自己的账户,但是此前从来没有成功过,因此起初他并没有心生警惕也没想过采取改设密码等临时防范措施。
第二天上午,一个圈内朋友来电质问,“你怎么回事?把域名全部挂出来卖?”朋友的质问,让他瞬间感到事情不妙,于是立马登录账户,但无论自己怎么输入密码都是错的。刘先生说,这表明黑客已经成功破解了账户密码并且进行修改。而他作为63个域名的合法拥有者,却完全对账户失去了控制。
“我当时真的差点晕倒。对账户失去了控制,意味着盗窃者可以把我的资产转卖,或者用于色情网站、赌博平台等等违法途径。”精通互联网运行规则的刘先生告诉记者,这十多年来,自己几乎把所有的投资资金都放在了上面。这些域名除了一次性购入要花大量资金之外,每年还要花一大笔管理费、维护费等等。
忧心:维权之路一波三折
事件发生后,刘先生致电自己的域名注册管理机构“易名中国”,如实告知失窃情况,要求对方查明情况,并且立即采取措施冻结域名资产。
域名已被低价售出5个
然而平台方客服人员的回复让刘先生感到痛苦不堪。失窃仅一天,63个域名已经被售出五个,其中售价最高的仅五千元,还有无偿转送的情况。
“这是故意贱卖,这五个域名其中有几个价值近百万元,早有人出价购买,我没有答应。”刘先生向记者出示了一些企业和机构以前开出的报价。记者看见,曾有买家为这几个域名分别报价10万元~150万元不等。
对于五个域名的去向,刘先生推断盗窃者只是先将域名划归到别人的手中,再进行其他目的。
冻结账号得先证明非本人所为
按照域名管理平台的惯例,如果没有被转卖,刘先生只需要提供身份证资料,可以申请冻结账户,等待平台方核实所有人身份之后就可以恢复权利。而被卖出去了,解决起来非常麻烦。
接下来,刘先生持续不断与平台方交涉,要求对方冻结剩余的58个代售账号。“对于已经售出并且变了持有人的五个账户,我要求他们宣布交易无效,并归还给我。”
然而交易平台方客服人员在查了相关资料之后告诉他一个难以接受的现实,因为售卖人使用的是刘先生本人的身份证资料,只不过收取交易资金的银行账户是别人。也就是说交易记录显示是他本人所为,如果要推翻交易,宣布交易无效,必须出具可靠的法律手续。否则,平台方只能认定是刘先生本人所为。
“我的资产被盗卖了,我本人不知情,这已经足够了。盗窃者偷了我的账户,肯定只能以我的名义卖出。”刘先生难以理解平台方面的解释,他认为对方有管理责任,不应该将责任推给受害者。
而平台方面则告诉他,售卖者掌握了账户密码,同时也出具了刘本人留下的身份证影印件等资料,这是符合交易程序的,所有的域名交易都是这样执行的,是刘本人泄露自己的账户密码和个人信息,给了黑客以可乘之机,平台方并没错。
如何证明?得公安机关立案
在刘先生的申请之下,平台方暂时冻结未售出的58个域名。但刘先生要取回这些域名所有权,必须得证明不是自己所为。平台方告诉他,唯一的合法证明是公安机关的立案受理。
当天下午,刘先生走进了公安部门报案。在听取了事情经过之后,警方表示需要讨论之后才能决定是否立案。至今已有20天时间,李先生仍然处于等待之中。
焦点争议:
1.域名失窃之责谁来背?
根据刘先生的描述,记者联系上了总部设在厦门的易名中国有限公司,这是一家专业互联网域名拍卖、维护、注册代理、交易以及其他技术类的平台公司。对于刘先生的遭遇,工作人员表示他应该第一时间报案,由警方出面掌握情况最具有可信度。除此之外,其他途径都不会是好的办法。这位人员表示,域名被倒卖首先责任依然在于所有人自己,因为黑客要想成功盗取并且转卖域名,必须掌握账户密码、获取所有人注册登记留存的证件资料、手机验证码等等。
在域名交易中有一个重要环节不容绕开,就是平台方在办理账户更名之前,会根据原所有人留下的手机号发送验证码,待到记住确认之后,才会办理“过户登记”。
对于这道最后的安全闸门为何失守?刘先生的解释是“黑客既然掌握了账户密码,侵入之后修改手机联系方式自然是举手之劳,否则还做什么黑客?” 刘先生因此质疑平台方交易安全系统有漏洞。
2.失窃损失如何追讨?
东莞律师唐胜利认为,刘先生追讨失窃域名可选择两种途径,一是报警通过警方追查。二是根据《物权法》一百零六条、《合同法》一百零七条的相关规定,直接起诉域名交易平台把关不严,没有尽到审查交易人身份的责任,或者说在交易模式上留下了漏洞,导致盗窃者有机可乘,从而给域名所有权人带来经济损失。上述律师认为,根据刘先生的说法,还可以同时起诉持有刘先生失窃的五个域名的当前持有人。由于被售出的五个域名价格明显低于市场正常价值,已经显示现持有人不属于善意取得域名的使用权,有义务返还域名并赔偿损失。
然而,东莞市警方一位不愿意透露姓名的人士认为,域名属于无形资产,其价值纯粹属于买卖双方自行约定,因此警方很难定价。在现实中,这类案件警方立案受理的情况并不多见。同时,据另一位不愿透露姓名的法律界人士表示,域名被盗窃或者被盗卖的情况时有发生,不过通常为企业界在正常使用之中出现,对此不需要警方立案,只需要所有人通过申诉,在自己的权利被注册和管理机构确认之后就会被恢复权利。而刘先生这种批量收购、囤积持有,并没有用于正常的生产经营而被盗的情况,尚不多见,至今也没有警方出面追讨的先例。
域名被盗并不鲜见
实际上,域名倒卖在业内人士看来,是一种常见现象。在网上输入域名倒卖的关键词,会弹出数十万条类似信息。有专业网友们总结,具有升值空间的域名,例如容易记住、输入方便、或者与一些大企业大机构名称关联性较高的域名,常常是黑客重点光顾的对象。
遭遇被盗的域名,并非只有留在炒家手中的待营运域名,一些大众熟知的互联网域名被盗也是常见之事。其中不少更是属于知名企业,尤其是人气高的网站,如大众点评网和土豆网等都有过失窃的遭遇。而黑客盗取域名之后通常有两种企图,一种是盗取人气高、知名度大的域名之后,向域名的“主人”索取赎金。另一种就是冒充所有人直接转卖,前一种对于所有人来说仅仅损失金钱,后一种情况处理起来则更加麻烦。
如何保护域名?
真实填写个人信息
网络安全知名人士“爱秦皇岛”等人认为,要保护自己域名,首先域名注册要求个人信息必须真实正确,所有的交易平台都有一个规定,填写个人信息不审查,但是一旦发现虚假信息,例如身份证信息作假等,有权停用域名,被盗也不提供保护,甚至域名可能会被注销。
密码减少共用、定时修改
账户密码设置需要技巧,不要怕麻烦,一定要复杂。同时不要和其他互联网工具共用密码,间隔一段时间必须修改密码。密码设置上,只要规定许可,应该尽可能多地采用数字、字母、符号相组合。
如果发生了域名被盗,一般情况下有两种选择,报警或者走民事途径。由于互联网跨国和隐匿性强的现实原因,采取后者维权的比较多,因为互联网无论盗窃者在境内还是境外,互联网始终会有人使用,因此,找到使用人或者持有人不难。如果现持有者在国外,就得聘请其所在国或者地区的律师维权,这样维权效率会显著提升。(记者 陈明)