京东金融疑存在支付安全漏洞

京东金融疑存在支付安全漏洞

京东金融疑存支付安全漏洞

10月20日消息，近日，有消费者向《金融一线》投诉称，自己绑定在京东金融上的银行卡遭遇了多笔盗刷。然而，京东金融客服却表示，其行为不在盗刷理赔的保障范围内，拒绝赔偿。该名消费者认为，京东金融存在重大支付安全隐患，同时有将事故责任推卸给消费者的嫌疑。

据投诉人龙先生 化名表示，10月14日上午10点34分，其发现自己的中国银行储蓄卡被扣除了4笔人民币账款，遂马上登录中国银行APP，向客服询问具体情况。中行客服人员告知龙先生，这四笔交易是通过京东金融的支付渠道进行扣款。

“老实说，我已经卸载京东半年了，这一次还是看到银行盗刷信息才去下载的。”龙先生表示，盗刷发生后，自己马上联系了京东金融的客服，然而对方却开始推卸责任，认为是龙先生自己泄露了京东账号，故而拒绝其理赔申请。

根据龙先生提供的客服聊天截图，京东客服称，根据现有账户安全权益保障范围判定，龙先生的行为 密码保管不当、验证码泄露、旧手机号未解除绑定等不在保证范围内，建议其寻求警方协助。

然而，龙先生表示，自己并没有任何密码保管不当、验证码泄露或是旧手机号未解除的行为。“不知道京东金融凭什么就那么肯定，我的账号是我自己泄露的。”龙先生还指出，自己确实于盗刷前收到了短信验证码，但彼时自己并未注意，遑论将验证码泄露给他人。

此外，龙先生还进一步质疑称，就算验证码等个人信息被不法分子所获取，但京东金融对于异地登陆设备管理，没有设置密码验证、活体认证手段，存在较大安全隐患。

具体来看，龙先生被盗刷的几笔交易均发生在湖南省永州市，而其本人则一直身处湖北省。通常而言，金融类APP对于异地登陆均设有活体认证或是密码验证等安全措施。

除异地登陆安全管理缺位外，龙先生认为，京东金融的免密支付也是造成自己被盗刷的重要原因之一。据了解，龙先生此前开通了京东的免密支付功能，500元以下消费不需要输入密码确认。而此次被盗刷的4笔消费，均在500元免密限额以下。

“免密支付固然给消费者带来了便利，但是如果没有配套安全措施，那么免密支付将会非常‘可怕’。”龙先生表示，作为受害者，他最想告诫消费者的就是，如果决定不使用京东APP后，最好解除绑定的银行卡。关闭白条等借款功能和免密支付、闪付等功能，因为京东金融的支付系统，就算是被盗取异地登录也不需要人脸识别，指纹识别。这意味着骗子只需要用非法手段获取短信验证码，就能随意盗用资金，而不用受密码制衡。

黑猫投诉平台数据显示，目前平台上针对京东金融盗刷类的投诉已接近200条，龙先生的情况显然并非个例。截至目前，京东尚未对此事作出回应。同时，龙先生已就此案向公安机关报案，《金融一线》后续将对此保持关注。

公开资料显示，京东金融在2013年10从京东集团内部正式独立运营。2018年9月17日晚间，京东金融的官方微博正式更改名称为“京东数科”。在此之前，京东金融一直强调自己是一家金融科技公司。

今年9月11日晚，上交所科创板披露了京东数科招股书。招股书显示，2017年-2019年以及2020年上半年，公司营业收入分别为90.70亿元、136.16亿元、182.03亿元及103.27亿元，保持高速增长；归母净利润分别为-38.20亿元、1.30亿元、7.90亿元及-6.70亿元。

京东金融疑似收集隐私

有网友在网上发布了两条视频，视频中显示京东金融的APP会不当获取用户的敏感图片信息，京东金融的行为引发了很多用户的质疑。在事件发酵之后，京东金融也很快就这一事件致歉，在其发来的书面回应中称，绝没有不当获取用户信息的意图和做法，已经下线了相关功能，并提出一系列整改措施。

网友阿木：“今天晚上发现一个很不得了的事情，拍个视频给大家说明一下。关于京东金融的软件做的一些见不得光的事情，我们来看一下。首先我们打开京东金融APP，然后他不要管他……”

这是微博网友“阿木”16号凌晨发布在微博上的一段体验视频，说的内容，大致是京东金融窃取用户的隐私图片，具体方式是：当京东金融在手机后台运行时，用户在使用手机其它应用时的屏幕截图，会被存储在京东金融的缓存当中。

昨天上午，京东金融方面发布文字说明称，这是京东金融在2018年12月发布的版本中的一个便利小功能：如果用户打开京东金融APP后进行了截图，京东金融会认为用户有可能想向客服投诉或建议。为了方便用户和客服沟通，京东金融在用户界面的左上角展示图片提示，用户可进一步选择是否联系客服并发送图片。但无论如何，这一截图反馈功能，不具备图片自动上传的能力，图片只是缓存在用户手机本地。目前，京东金融已经下线“图片助手”功能。

但是，爆料的网友阿木认为，这一解释难以接受。因为，他在此之前还发现，用户使用其它手机应用时拍摄的照片，也会出现在京东金融的缓存文件当中。

网友阿木：“老样子，还是先打开京东金融APP把它放到后台，然后我们打开一个美颜相机，随便拍点东西，保存了图片之后，我们等一会儿回去，然后我们继续打开文件夹看一眼，我们可以看到一个596KB、2月16号的文件，我们打开看一看它是什么？我刚刚拍的照片。”

阿木接受媒体采访时表示，截图跟美颜相机拍照，是两个完全不同的目录，它把后者也复制了一份。

京东金融承认存在技术问题将定期进行安全检测

一位不愿具名的网络安全技术专家分析称，根据目前公开的信息，京东金融方面恶意窃取用户信息的可能性不大，更有可能是程序写入时的考虑不周所致。因为单凭这些截图，并不能危及网络交易安全。但是，不排除这一漏洞被人利用，进而威胁到用户的隐私。

昨天下午，京东金融就这一问题，再次发布文字说明，其中承认，这一APP在截图反馈功能开发上存在技术问题。具体为用户将京东金融APP切换到后台后，该功能继续运行，继续接收新增图片通知 包括截屏和照片等并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。同时，经过安全技术团队深度评估，该功能也不应该使用手机缓存技术来实现，应该直接使用手机实时内存 RAM实现并增强提醒，无需使用手机本地缓存，当京东金融APP切换或退出时，将自动清空。

北京外国语大学电子商务与网络犯罪研究中心主任、法学院教授王文华认为，互联网提供的便利，应当建立在安全的前提下，而绝不能以牺牲公民隐私为代价。

王文华：“互联网企业应当把对用户的个人信息的保护放在举足轻重的位置，这个也是企业合规的最起码的要求。违反了以后不仅是侵犯消费者的合法权益，实际上也损害自身的可持续发展，应当从技术上从法律上从企业的法务的整体上给予足够的重视，防止之类的事情在发生，应该有足够有效的措施来保障这样一个制度的完善。”

京东金融在书面回应中称，下一步，京东金融今天将邀请权威官方机构对京东金融APP进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果，并将于本周邀请包括这次问题发现者网友“阿木”在内的用户和外部专家、媒体组成安全顾问小组，对京东金融APP提供的产品和服务进行独立、长期的检查监督。并将赋予内部安全技术团队对产品功能的直接否决权，将投入更多资源，建立更为严谨的安全审查机制，对每一项技术应用和业务功能进行更加严格、全面的安全测试。

宝，喜欢（京东金融疑存支付安全漏洞 京东金融疑似收集隐私）记得收藏一下，以后访问不迷路。