拼多多、京東的安全漏洞,讓人後背發涼……
666書友會
01
在發生這件事之前,我應該算是京東的忠實用戶了,無論是購物還是金融。
我是京東的plus會員,大件產品我一般都習慣性地在京東商城購買,去年和前年我在京東商城的消費都超過了10萬。
而在金融方面,我之前還專門在我的公眾號推薦過京東金融裡面的富民寶,我自己也在裡面投了幾十萬。
以上是一些背景信息,對於京東來說,我應該算得上是忠實用戶了。
我寫這篇文章絕對不是為了黑京東,但昨天發生的一些事,讓我對京東平臺的安全性抱有極大的懷疑,所以覺得有必要寫下來讓更多的人知道。
事情的起因是,我媽也想在京東金融裡面買一些理財產品,而京東金融和京東商城的賬戶是互通的,所以我就先去幫我媽註冊了京東商城的賬戶。
在實名認證的那一步,居然發現我媽的身份證信息已經被人佔用了,綁定的手機號是一個陌生的號碼(所以不存在路邊被人拉去不小心開通了京東賬戶的可能)。
於是我點擊“申訴找回”,選擇了“從未做過實名操作,實名被佔用”這一欄。
然後就發現冒用我媽身份證的那個人開通了“京東小金庫”和“京東錢包”,導致無法繼續點擊“下一步”(按鈕變成灰色了),於是自助申訴這條路就被堵死了。
無奈之下,我在網頁端找到了人工服務,客服反饋說,需要把原先那個賬戶(也就是冒用我媽身份證的那個賬戶)註銷掉才能重新進行實名認證,而要註銷那個賬戶,必須先註銷那個賬戶上的京東小金庫和京東錢包。
關鍵是,還必須由我登陸那個不是我的賬戶去操作註銷才能更正實名認證,這讓我感覺非常不舒服。
登陸別人的賬戶去註銷掉對方的金融賬戶,讓我感覺自己好像私自動了別人的錢包一樣,給我帶來了道德上的壓力。
當然,我知道是那個人先冒用了我媽的身份信息,但造成這一局面的,是京東在實名認證流程上存在著巨大的安全漏洞,這個漏洞讓我感到後背發涼。
因為京東不光是一個購物平臺,它還是一個金融平臺,是用戶的錢包,甚至是可以打白條和搞借貸。
我當時最擔心的就是會不會有人用“京東白條”去分期購物,然後欠錢不還,從而影響到我媽的徵信。
客服沒有直接回答我的問題,只是要求上傳本人手持身份證正反面的照片進行申訴。
由於當時已經是晚上12點多了,我怕打擾到我媽睡覺,所以決定第二天再申訴。
02
結束和客服的對話後,我去知乎上搜索了相關話題,結果發現我遇到的情況並不是個例。
在“京東實名認證被佔用怎麼處理?”和“關於京東實名認證!差評!?”這兩個話題下面,有不少人表達了類似經歷和對個人信息安全的擔憂。
比如有人說自己幫同事在京東上支付過一次,結果不知道怎麼回事同事的京東賬戶就綁定了他的信用卡,還自動進行了實名認證。
也有人說自己的身份證被冒用後,申訴的時上傳了手持身份證的照片、護照的照片,結果申訴還是不通過。
而且這個情況也不是個例,有人甚至遇到了冒用自己身份的人還開通了京東白條。
(怕就怕人在家中坐,債從天上來……)
“我申訴了好幾次沒成功,顯示對方是白條用戶,怎麼辦啊,要打電話聯繫客服麼。對方欠了錢不會讓我還吧?”
另外有一位自稱在銀行系統工作的匿名用戶稱,他在申訴的時候上傳了自己手持身份證的照片給京東客服,總算是把京東小金庫給註銷掉了。
“想起這個還是感覺怕怕的,什麼人能用我的身份證號碼就一串數字就直接幫我實名了,裡面都沒有我身份證的照片!要是開通了什麼白條借了錢。。。導致欠錢影響個人信用??後果不敢想。。。”
於是他決定註銷那個冒用他身份的京東賬戶,結果遇到了另一個更棘手的問題。
他被客服告知要註銷京東賬戶先要註銷京東錢包,然而點進京東錢包之後他發現錢包被鎖定了(原因是太久未使用),到了這一步就不只是手持身份證的照片那麼簡單,而是要求提供手持銀行卡正反面的照片才能解鎖。
這位匿名用戶稱,由於他本人是銀行系統的,所以對這件事特別謹慎。
信用卡正面有卡號和有效期,背面還有個授權碼,後者屬於客戶的極度隱私。
“進行到這裡,感覺背脊發涼,作為一個都稱不上金融企業的網購企業,首先不是什麼國家機關,其次你與利益又息息相關,再者你又不是給我放貸借款,簡單的核實我本人,只是解個空賬戶的鎖,手持身份證正反面,這已經很過分了!要客戶銀行卡正反面這些幹什麼??這僅僅是提供給你用來解鎖??”
由於擔心隱私被洩露出去,所以他拒絕提供手持銀行卡的照片,結果就是頻繁的申訴卻解決不了問題。
(這位網友的留言非常長,有興趣的可以自己去知乎話題“京東實名認證被佔用怎麼處理?”上查看)
當然,以上信息都是網友的一面之詞,我沒法驗證是否屬實,但他們之中確實有一部分人提供了證據,所以我相信身份證被冒用絕不是個例。
更重要的是,他們還給我提了一個醒,就是不要輕易提供手持身份證的照片和手持銀行卡的照片,這可能會洩露你的隱私,甚至產生你難以預見的後果。
03
今天中午,拍了我媽手持身份證的照片後,我專門在照片上P了一段字:“此照片僅用於京東賬戶找回申訴”,這也是沒有辦法的辦法。
從流程設計上來說,確實應該由本人出鏡配合身份證信息一起出示,否則任何人一旦知道了你的身份證號碼,就有可能進行惡意申訴,讓你的賬戶沒法正常使用。
但我覺得京東在申訴流程的設計上,依然存在漏洞,比如客服會不會私自拿了用戶手持證件的照片去做讓你意想不到的事(例如去申請借貸)?
京東不是沒有發生過用戶信息洩露的事。
早在2015年初,京東就被曝出大量用戶的隱私信息遭到洩露,多名用戶的錢被人騙走,總共損失達數百萬元。
京東當時給予的回應是:該部分用戶使用相同註冊信息(用戶名和密碼),在其他網站洩漏後被不法分子使用“撞庫”的方法進行詐騙。
翻譯成大白話就是,你的信息是在其他網站洩露的,而你又把自己的京東賬戶和其他網站賬戶上的用戶名和密碼設置成一樣,所以才被騙了。
京東的回應可以說是甩鍋甩得很徹底了,然而事實並不是這樣。
根據《法制晚報》的報道,京東用戶信息洩露的原因是京東出了“內鬼”。
李軍等3名京東的物流人員,通過QQ群,向買家出售了9313條客戶信息,每條信息的價格從最初的3毛,5毛,逐漸漲到1.5元一條。
也就是說,這完全是一起內鬼監守自盜的案件。
所以你讓我把自己手持證件的照片發給京東的客服人員,說實話我是有顧慮的。
但不這麼做又無法更正身份信息,於是我只能在照片上P下“此照片僅用於京東賬戶找回申訴”作為防範,也真的是很無奈了。
讓我難以理解的是,京東為什麼不在自助申訴中採用動態人像識別的方式進行驗證?
動態的人像識別是要求本人面對攝像頭眨眼的,這顯然比靜態的照片更安全(因為照片有被盜用的可能,而如果要求本人眨眼的話,騙子是無法通過驗證的),而且通過自助申訴渠道也可以減小內鬼作案的風險。
我作為一個外行都能想到這些風險,很難想象京東的金融團隊會想不到。
另一個讓我覺得難以接受的安全漏洞是,京東的購物平臺賬戶和金融類賬戶(如京東錢包)是打通的,然後他們把網購的實名驗證和金融的實名驗證搞在了一起,而不需要二次實名認證,這個真的很讓人無語。
網購平臺和金融平臺的安全風險等級是不一樣的。
金融平臺是用戶的錢包,可能涉及到大額資金,也可能會因為白條和借貸影響用戶的徵信。
所以從風控的角度,即便採用同一個賬戶,金融類的平臺也理應要進行二次身份驗證。
比如阿里(螞蟻金服)旗下的網商銀行,雖然也可以通過支付寶賬戶登陸,但是要經過人臉識別的二次驗證。
騰訊旗下的微眾銀行,可以通過微信號登陸,但也是要上傳身份證照片進行二次驗證。
唯有京東,你只要在購物平臺進行過實名驗證,居然就自動給你通過了金融賬戶的實名驗證(錢包和小金庫),而且別人甚至還可以冒用你的身份開通金融功能。
這種奇葩的產品設計思路,不免讓人懷疑京東到底把用戶的賬戶安全、資金安全和信用安全擺在什麼位置?
04
因為這件事,我又去查了查和京東有關的安全風險,然後就查到了豆瓣網友 @獨釣寒江雪 去年的一篇帖子《這下一無所有了》。
2018年7月30日凌晨5點,@獨釣寒江雪 醒來發現手機收到了100多條驗證碼,包括支付寶、京東、銀行的什麼都有。
當時她就被嚇醒了,然後查了自己的賬戶,發現支付寶、餘額寶和銀行卡賬上的錢都被轉走了,而京東賬戶還開通了金條和白條功能,被人借走了一萬多元。
幾天後,深圳市公安局龍崗分局龍新派出所破獲了一起“短信嗅探犯罪”,位置與網友@獨釣寒江雪 的住所位置高度吻合。
關於“短信嗅探犯罪”,這裡不詳細開展技術細節,簡單來說就是犯罪販子可以利用偽基站和“短信嗅探設備”獲取用戶在各類網站和APP上的用戶名、身份證號、銀行卡號等信息,然後盜刷用戶的金融賬戶,甚至開通借貸功能然後把貸款轉移走。
(警方查獲的作案工具)
根據深圳市反電信網絡詐騙中心公佈的消息,包括支付寶、京東、以及銀行均存在不同等級的漏洞。
以支付寶例,犯罪分子盜取受害者支付寶賬戶的整個過程如下:
犯罪分子在獲取受害者的登陸密碼並修改了支付密碼之後,實施了綁定銀行卡、1次網購和3次提現,直到第2次網購時觸發了支付寶的“人臉校驗”機制才得以終止。
整個過程一共消費了932元和提現7578元至受害者本人名下的銀行卡(但如果正好銀行的系統也存在漏洞,那麼這部分錢就會被犯罪分子捲走)。
另外根據網友@獨釣寒江雪 公佈的對話截圖和描述,當她詢問京東客服為什麼在沒有提供本人手持身份證照片的情況下還是被開通了借貸功能後,京東客服的回答模稜兩可前後矛盾,還兩次打電話給她要求她償還貸款,這讓她難以接受。
幸運的是這件事經過微博的發酵,在網上鬧大了,支付寶給予了全額賠償,京東也免除了她的貸款。
對於有網友質疑為什麼支付寶提現到她本人銀行卡里的錢會被轉走,@獨釣寒江雪 也公佈了一張銀行流水信息的照片。
從這張照片中可以看出,這張銀行卡里的錢都被轉移到了陝西某商品交易中心有限公司的賬戶名下。
其中倒數第二行的那1萬塊錢,就來自京東。
05
從@獨釣寒江雪 遭遇也可以看出,面對“短信嗅探犯罪”這種新型作案手段,無論是支付寶、銀行還是京東,都存在安全漏洞。
支付寶相對來說風控強一點(也只能說相對),自動觸發了“人臉校驗”機制,銀行的系統這麼輕易就被攻破真的有點出乎了我的意料(而且還是四大行之一),但最讓我在意的還是京東的安全漏洞。
因為京東的漏洞暴露的是他們有沒有嚴格按照流程執行的問題。
一般情況下,要開通借貸功能至少要本人手持身份證的照片才行,京東的客服也是這麼回覆的。
但事實是,這位豆瓣網友一覺醒來後發現自己“被貸款”,這讓我懷疑京東的金融業務有沒有按照規定的流程在進行操作。
而且借貸會影響到徵信,這是我非常在意的一點。
隨著中國社會信用體系的逐步建立,徵信不僅會影響到你申請房貸、車貸,還可能會跟隨你的一生。
如果因為平臺的漏洞導致你的個人徵信出現了汙點,這種損失誰來彌補,又能否彌補?
關於京東的風控漏洞和網友對京東的吐槽還有很多。
比如2016年有一個容量達12個G的數據包在黑市上流通,涉及到數千萬京東用戶的數據,包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,隨後就有用戶反映,自己的京東白條被人盜刷。
再比如有知乎網友稱,京東金融擅自篡改了他賬戶裡一張價值150元的優惠券,導致優惠無法使用。
當他詢問京東金融客服後,對方的回應是:
“這個不計成本給您免費發放的優惠券,由於小編不小心手抖給您發放錯誤了,有效期還請您以頁面信息為準。”
雖然只是一張優惠券,但篡改用戶賬戶信息這個性質是很惡劣的。
對於金融平臺來說,最重要的是什麼?
是嚴謹和專業。
但是京東的金融業務從頂層設計(比如賬戶的實名驗證漏洞和申訴流程)到實際執行的各個環節(比如一覺醒來發現自己被貸款),都是有漏洞的,它沒有金融產品應有的專業和嚴謹,它骨子裡還是一個互聯網企業的基因,即先汙染後治理,先試錯後改進。
但問題是,試錯是需要代價的,誰來承擔這個代價?
作為京東的用戶,我不希望自己成為那個代價。
我甚至都懷疑,諸如網購賬戶和金融賬戶實名認證二合一這種奇葩設計,是京東有意而為之。
因為認證流程越複雜,用戶就越沒有耐心,從而對平臺的用戶增長產生不利影響,而實名認證二合一的奇葩設定,更容易把用戶基數做大,從而推高公司估值。
另外我在查詢京東安全漏洞的時候,順帶還發現了京東利用大數據殺熟的事。
在知乎話題“如何評價京東殺熟?”中,有2000多個回答。
有人說,同一款24包的紙巾,非會員顯示原價49.9特價39.9,plus會員卻顯示原價49.9plus價44.9。
有人說,同樣是購買一部三星s9+,在同一天同一個時間,plus會員的價格比非會員要貴100塊。
天眼查的官方賬戶甚至還找到了一張堪稱“感到智商受到了侮辱”的價格截圖,會員價直接比非會員貴150元。
想起劉強東的那一句靠“正道成功”,何其諷刺?
06
寫這篇並不是要全盤否定京東。
京東的物流速度確實很快,退換貨也很方便,而且自營產品也比較讓人放心,所以有需要的時候我還是會在京東商城購物。
但我不會像過去那樣無腦下單,因為我怕遇到大數據殺熟。
至於京東金融裡買的那些智能存款類產品,我也依然會持有。
但這並不是因為我信任京東金融,而是因為那幾款產品是受《存款保險制度》保障的,有政府兜底,所以我才敢放心持有(但單個銀行的產品持有額度建議不要超過50萬,因為《存款保險制度》保障的額度上限就是50萬)。
說到底,就是京東敗光了我對它的好感,我不會再像過去那樣信任它。
我媽的賬戶,我已經提交了申訴信息,希望能夠儘快得到解決。
至於有很多人在我朋友圈問我,怎麼才能查到自己和家人的身份信息有沒有被人冒用,這個我也不知道。
如果不是因為正好要幫我媽開通京東賬戶,我都不知道我媽的賬戶早就被人冒用了。
希望有知道的朋友能夠留言告訴我們(發現被冒用只是一個偶然,不知道還有多少沒被發現的)。
最後,還是想對京東說一句:
別把用戶的隱私和利益不當回事,更別想著讓用戶成為你試錯的代價。
你今天野蠻發展欠下的債,早晚會有償還的那一天。
閱讀更多 666書友會官方號 的文章
