京东的安全漏洞,让我后背发凉……

分类: 小京资讯 发布时间:2019-01-20 07:37

01

在发生这件事之前,我应该算是京东的忠实用户了,无论是购物还是金融。

我是京东的plus会员,大件产品我一般都习惯性地在京东商城购买,去年和前年我在京东商城的消费都超过了10万。

而在金融方面,我之前还专门在我的公众号推荐过京东金融里面的富民宝,我自己也在里面投了几十万。

以上是一些背景信息,对于京东来说,我应该算得上是忠实用户了。

我写这篇文章绝对不是为了黑京东,但昨天发生的一些事,让我对京东平台的安全性抱有极大的怀疑,所以觉得有必要写下来让更多的人知道。

事情的起因是,我妈也想在京东金融里面买一些理财产品,而京东金融和京东商城的账户是互通的,所以我就先去帮我妈注册了京东商城的账户。

在实名认证的那一步,居然发现我妈的身份证信息已经被人占用了,绑定的手机号是一个陌生的号码(所以不存在路边被人拉去不小心开通了京东账户的可能)。

于是我点击“申诉找回”,选择了“从未做过实名操作,实名被占用”这一栏。

然后就发现冒用我妈身份证的那个人开通了“京东小金库”和“京东钱包”,导致无法继续点击“下一步”(按钮变成灰色了),于是自助申诉这条路就被堵死了。

无奈之下,我在网页端找到了人工服务,客服反馈说,需要把原先那个账户(也就是冒用我妈身份证的那个账户)注销掉才能重新进行实名认证,而要注销那个账户,必须先注销那个账户上的京东小金库和京东钱包。

关键是,还必须由我登陆那个不是我的账户去操作注销才能更正实名认证,这让我感觉非常不舒服。

登陆别人的账户去注销掉对方的金融账户,让我感觉自己好像私自动了别人的钱包一样,给我带来了道德上的压力。

当然,我知道是那个人先冒用了我妈的身份信息,但造成这一局面的,是京东在实名认证流程上存在着巨大的安全漏洞,这个漏洞让我感到后背发凉。

因为京东不光是一个购物平台,它还是一个金融平台,是用户的钱包,甚至是可以打白条和搞借贷。

我当时最担心的就是会不会有人用“京东白条”去分期购物,然后欠钱不还,从而影响到我妈的征信。

客服没有直接回答我的问题,只是要求上传本人手持身份证正反面的照片进行申诉。

由于当时已经是晚上12点多了,我怕打扰到我妈睡觉,所以决定第二天再申诉。

02

结束和客服的对话后,我去知乎上搜索了相关话题,结果发现我遇到的情况并不是个例。

在“京东实名认证被占用怎么处理?”和“关于京东实名认证!差评!?”这两个话题下面,有不少人表达了类似经历和对个人信息安全的担忧。

比如有人说自己帮同事在京东上支付过一次,结果不知道怎么回事同事的京东账户就绑定了他的信用卡,还自动进行了实名认证。

也有人说自己的身份证被冒用后,申诉的时上传了手持身份证的照片、护照的照片,结果申诉还是不通过。

而且这个情况也不是个例,有人甚至遇到了冒用自己身份的人还开通了京东白条。

“我申诉了好几次没成功,显示对方是白条用户,怎么办啊,要打电话联系客服么。对方欠了钱不会让我还吧?”

另外有一位自称在银行系统工作的匿名用户称,他在申诉的时候上传了自己手持身份证的照片给京东客服,总算是把京东小金库给注销掉了。

“想起这个还是感觉怕怕的,什么人能用我的身份证号码就一串数字就直接帮我实名了,里面都没有我身份证的照片!要是开通了什么白条借了钱。。。导致欠钱影响个人信用??后果不敢想。。。”

于是他决定注销那个冒用他身份的京东账户,结果遇到了另一个更棘手的问题。

他被客服告知要注销京东账户先要注销京东钱包,然而点进京东钱包之后他发现钱包被锁定了(原因是太久未使用),到了这一步就不只是手持身份证的照片那么简单,而是要求提供手持银行卡正反面的照片才能解锁。

这位匿名用户称,由于他本人是银行系统的,所以对这件事特别谨慎。

信用卡正面有卡号和有效期,背面还有个授权码,后者属于客户的极度隐私

“进行到这里,感觉背脊发凉,作为一个都称不上金融企业的网购企业,首先不是什么国家机关,其次你与利益又息息相关,再者你又不是给我放贷借款,简单的核实我本人,只是解个空账户的锁,手持身份证正反面,这已经很过分了!要客户银行卡正反面这些干什么??这仅仅是提供给你用来解锁??”

由于担心隐私被泄露出去,所以他拒绝提供手持银行卡的照片,结果就是频繁的申诉却解决不了问题。

(这位网友的留言非常长,有兴趣的可以自己去知乎话题“京东实名认证被占用怎么处理?”上查看)

当然,以上信息都是网友的一面之词,我没法验证是否属实,但他们之中确实有一部分人提供了证据,所以我相信身份证被冒用绝不是个例。

更重要的是,他们还给我提了一个醒,就是不要轻易提供手持身份证的照片和手持银行卡的照片,这可能会泄露你的隐私,甚至产生你难以预见的后果。

03

今天中午,拍了我妈手持身份证的照片后,我专门在照片上P了一段字:“此照片仅用于京东账户找回申诉”,这也是没有办法的办法。

从流程设计上来说,确实应该由本人出镜配合身份证信息一起出示,否则任何人一旦知道了你的身份证号码,就有可能进行恶意申诉,让你的账户没法正常使用。

但我觉得京东在申诉流程的设计上,依然存在漏洞,比如客服会不会私自拿了用户手持证件的照片去做让你意想不到的事(例如去申请借贷)?

京东不是没有发生过用户信息泄露的事。

早在2015年初,京东就被曝出大量用户的隐私信息遭到泄露,多名用户的钱被人骗走,总共损失达数百万元。

京东当时给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。

翻译成大白话就是,你的信息是在其他网站泄露的,而你又把自己的京东账户和其他网站账户上的用户名和密码设置成一样,所以才被骗了。

京东的回应可以说是甩锅甩得很彻底了,然而事实并不是这样。

根据《法制晚报》的报道,京东用户信息泄露的原因是京东出了“内鬼”。

李军等3名京东的物流人员,通过QQ群,向买家出售了9313条客户信息,每条信息的价格从最初的3毛,5毛,逐渐涨到1.5元一条。

也就是说,这完全是一起内鬼监守自盗的案件。

所以你让我把自己手持证件的照片发给京东的客服人员,说实话我是有顾虑的。

但不这么做又无法更正身份信息,于是我只能在照片上P下“此照片仅用于京东账户找回申诉”作为防范,也真的是很无奈了。

让我难以理解的是,京东为什么不在自助申诉中采用动态人像识别的方式进行验证?

动态的人像识别是要求本人面对摄像头眨眼的,这显然比静态的照片更安全(因为照片有被盗用的可能,而如果要求本人眨眼的话,骗子是无法通过验证的),而且通过自助申诉渠道也可以减小内鬼作案的风险。

我作为一个外行都能想到这些风险,很难想象京东的金融团队会想不到。

另一个让我觉得难以接受的安全漏洞是,京东的购物平台账户和金融类账户(如京东钱包)是打通的,然后他们把网购的实名验证和金融的实名验证搞在了一起,而不需要二次实名认证,这个真的很让人无语。

网购平台和金融平台的安全风险等级是不一样的。

金融平台是用户的钱包,可能涉及到大额资金,也可能会因为白条和借贷影响用户的征信。

所以从风控的角度,即便采用同一个账户,金融类的平台也理应要进行二次身份验证。

比如阿里(蚂蚁金服)旗下的网商银行,虽然也可以通过支付宝账户登陆,但是要经过人脸识别的二次验证。

唯有京东,你只要在购物平台进行过实名验证,居然就自动给你通过了金融账户的实名验证(钱包和小金库),而且别人甚至还可以冒用你的身份开通金融功能。

这种奇葩的产品设计思路,不免让人怀疑京东到底把用户的账户安全、资金安全和信用安全摆在什么位置?

04

因为这件事,我又去查了查和京东有关的安全风险,然后就查到了豆瓣网友 @独钓寒江雪 去年的一篇帖子《这下一无所有了》。

2018年7月30日凌晨5点,@独钓寒江雪 醒来发现手机收到了100多条验证码,包括支付宝、京东、银行的什么都有。

当时她就被吓醒了,然后查了自己的账户,发现支付宝、余额宝和银行卡账上的钱都被转走了,而京东账户还开通了金条和白条功能,被人借走了一万多元。

几天后,深圳市公安局龙岗分局龙新派出所破获了一起“短信嗅探犯罪”,位置与网友@独钓寒江雪 的住所位置高度吻合。

关于“短信嗅探犯罪”,这里不详细开展技术细节,简单来说就是犯罪贩子可以利用伪基站和“短信嗅探设备”获取用户在各类网站和APP上的用户名、身份证号、银行卡号等信息,然后盗刷用户的金融账户,甚至开通借贷功能然后把贷款转移走。

(警方查获的作案工具)

根据深圳市反电信网络诈骗中心公布的消息,包括支付宝、京东、以及银行均存在不同等级的漏洞。

以支付宝例,犯罪分子盗取受害者支付宝账户的整个过程如下:

犯罪分子在获取受害者的登陆密码并修改了支付密码之后,实施了绑定银行卡、1次网购和3次提现,直到第2次网购时触发了支付宝的“人脸校验”机制才得以终止。

整个过程一共消费了932元和提现7578元至受害者本人名下的银行卡(但如果正好银行的系统也存在漏洞,那么这部分钱就会被犯罪分子卷走)。

另外根据网友@独钓寒江雪 公布的对话截图和描述,当她询问京东客服为什么在没有提供本人手持身份证照片的情况下还是被开通了借贷功能后,京东客服的回答模棱两可前后矛盾,还两次打电话给她要求她偿还贷款,这让她难以接受。

幸运的是这件事经过微博的发酵,在网上闹大了,支付宝给予了全额赔偿,京东也免除了她的贷款。

对于有网友质疑为什么支付宝提现到她本人银行卡里的钱会被转走,@独钓寒江雪 也公布了一张银行流水信息的照片。

从这张照片中可以看出,这张银行卡里的钱都被转移到了陕西某商品交易中心有限公司的账户名下。

其中倒数第二行的那1万块钱,就来自京东。

05

从@独钓寒江雪 遭遇也可以看出,面对“短信嗅探犯罪”这种新型作案手段,无论是支付宝、银行还是京东,都存在安全漏洞。

支付宝相对来说风控强一点(也只能说相对),自动触发了“人脸校验”机制,银行的系统这么轻易就被攻破真的有点出乎了我的意料(而且还是四大行之一),但最让我在意的还是京东的安全漏洞。

因为京东的漏洞暴露的是他们有没有严格按照流程执行的问题。

一般情况下,要开通借贷功能至少要本人手持身份证的照片才行,京东的客服也是这么回复的。

但事实是,这位豆瓣网友一觉醒来后发现自己“被贷款”,这让我怀疑京东的金融业务有没有按照规定的流程在进行操作。

而且借贷会影响到征信,这是我非常在意的一点。

随着中国社会信用体系的逐步建立,征信不仅会影响到你申请房贷、车贷,还可能会跟随你的一生。

如果因为平台的漏洞导致你的个人征信出现了污点,这种损失谁来弥补,又能否弥补?

关于京东的风控漏洞和网友对京东的吐槽还有很多。

比如2016年有一个容量达12个G的数据包在黑市上流通,涉及到数千万京东用户的数据,包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,随后就有用户反映,自己的京东白条被人盗刷。

再比如有知乎网友称,京东金融擅自篡改了他账户里一张价值150元的优惠券,导致优惠无法使用。

当他询问京东金融客服后,对方的回应是:

“这个不计成本给您免费发放的优惠券,由于小编不小心手抖给您发放错误了,有效期还请您以页面信息为准。”

虽然只是一张优惠券,但篡改用户账户信息这个性质是很恶劣的。

对于金融平台来说,最重要的是什么?

是严谨和专业。

但是京东的金融业务从顶层设计(比如账户的实名验证漏洞和申诉流程)到实际执行的各个环节(比如一觉醒来发现自己被贷款),都是有漏洞的,它没有金融产品应有的专业和严谨,它骨子里还是一个互联网企业的基因,即先污染后治理,先试错后改进。

但问题是,试错是需要代价的,谁来承担这个代价?

作为京东的用户,我不希望自己成为那个代价。

我甚至都怀疑,诸如网购账户和金融账户实名认证二合一这种奇葩设计,是京东有意而为之。

因为认证流程越复杂,用户就越没有耐心,从而对平台的用户增长产生不利影响,而实名认证二合一的奇葩设定,更容易把用户基数做大,从而推高公司估值。

另外我在查询京东安全漏洞的时候,顺带还发现了京东利用大数据杀熟的事。

在知乎话题“如何评价京东杀熟?”中,有2000多个回答。

有人说,同一款24包的纸巾,非会员显示原价49.9特价39.9,plus会员却显示原价49.9plus价44.9。

有人说,同样是购买一部三星s9+,在同一天同一个时间,plus会员的价格比非会员要贵100块。

天眼查的官方账户甚至还找到了一张堪称“感到智商受到了侮辱”的价格截图,会员价直接比非会员贵150元。

想起刘强东的那一句靠“正道成功”,何其讽刺?

06

写这篇并不是要全盘否定京东。

京东的物流速度确实很快,退换货也很方便,而且自营产品也比较让人放心,所以有需要的时候我还是会在京东商城购物。

但我不会像过去那样无脑下单,因为我怕遇到大数据杀熟。

至于京东金融里买的那些智能存款类产品,我也依然会持有。

但这并不是因为我信任京东金融,而是因为那几款产品是受《存款保险制度》保障的,有政府兜底,所以我才敢放心持有(但单个银行的产品持有额度建议不要超过50万,因为《存款保险制度》保障的额度上限就是50万)。

说到底,就是京东败光了我对它的好感,我不会再像过去那样信任它。

我妈的账户,我已经提交了申诉信息,希望能够尽快得到解决。

至于有很多人在我朋友圈问我,怎么才能查到自己和家人的身份信息有没有被人冒用,这个我也不知道。

如果不是因为正好要帮我妈开通京东账户,我都不知道我妈的账户早就被人冒用了。

希望有知道的朋友能够留言告诉我们(发现被冒用只是一个偶然,不知道还有多少没被发现的)。

最后,还是想对京东说一句:

别把用户的隐私和利益不当回事,更别想着让用户成为你试错的代价。

你今天野蛮发展欠下的债,早晚会有偿还的那一天。

P.s

对于文章中提到的“短信嗅探犯罪”实施犯罪是要很多前提条件的,其中有一条就是手机必须处于2G网络状态下。

如果你的手机处于4G网络状态下,这种犯罪手段无法成功。

除此之外,就是不要所有的软件和平台都采用一个密码,尤其是登陆密码和支付密码一定要有所区分,以避免犯罪分子获取其中一个账户后就能把你所有的账户都一锅端了。