您当前的位置:首页 > 美文分享

热文:京东金融疑存在支付安全漏洞

时间:2022-04-02 08:34:00

近日京东金融疑存在支付安全漏洞登录上了百度热搜,受到广大网友们的关注,那么关于目前的京东金融疑存在支付安全漏洞相信小伙伴们都是想要了解到最新的信息吧,小编也是在网上进行了一些整理,收集到了一些与京东金融疑存在支付安全漏洞相关的文章,那么下面就来分享给大家一起来了解了解吧。(以下内容来自于网络,如有侵权请联系站长进行删除)

京东金融疑存支付安全漏洞

10月20日消息,近日,有消费者向《金融一线》投诉称,自己绑定在京东金融上的银行卡遭遇了多笔盗刷。然而,京东金融客服却表示,其行为不在盗刷理赔的保障范围内,拒绝赔偿。该名消费者认为,京东金融存在重大支付安全隐患,同时有将事故责任推卸给消费者的嫌疑。

据投诉人龙先生(化名)表示,10月14日上午10点34分,其发现自己的中国银行储蓄卡被扣除了4笔人民币账款,遂马上登录中国银行APP,向客服询问具体情况。中行客服人员告知龙先生,这四笔交易是通过京东金融的支付渠道进行扣款。

“老实说,我已经卸载京东半年了,这一次还是看到银行盗刷信息才去下载的。”龙先生表示,盗刷发生后,自己马上联系了京东金融的客服,然而对方却开始推卸责任,认为是龙先生自己泄露了京东账号,故而拒绝其理赔申请。

根据龙先生提供的客服聊天截图,京东客服称,根据现有账户安全权益保障范围判定,龙先生的行为(密码保管不当、验证码泄露、旧手机号未解除绑定等)不在保证范围内,建议其寻求警方协助。

然而,龙先生表示,自己并没有任何密码保管不当、验证码泄露或是旧手机号未解除的行为。“不知道京东金融凭什么就那么肯定,我的账号是我自己泄露的。”龙先生还指出,自己确实于盗刷前收到了短信验证码,但彼时自己并未注意,遑论将验证码泄露给他人。

此外,龙先生还进一步质疑称,就算验证码等个人信息被不法分子所获取,但京东金融对于异地登陆设备管理,没有设置密码验证、活体认证手段,存在较大安全隐患。

具体来看,龙先生被盗刷的几笔交易均发生在湖南省永州市,而其本人则一直身处湖北省。通常而言,金融类APP对于异地登陆均设有活体认证或是密码验证等安全措施。

除异地登陆安全管理缺位外,龙先生认为,京东金融的免密支付也是造成自己被盗刷的重要原因之一。据了解,龙先生此前开通了京东的免密支付功能,500元以下消费不需要输入密码确认。而此次被盗刷的4笔消费,均在500元免密限额以下。

“免密支付固然给消费者带来了便利,但是如果没有配套安全措施,那么免密支付将会非常‘可怕’。”龙先生表示,作为受害者,他最想告诫消费者的就是,如果决定不使用京东APP后,最好解除绑定的银行卡。关闭白条等借款功能和免密支付、闪付等功能,因为京东金融的支付系统,就算是被盗取异地登录也不需要人脸识别,指纹识别。这意味着骗子只需要用非法手段获取短信验证码,就能随意盗用资金,而不用受密码制衡。

黑猫投诉平台数据显示,目前平台上针对京东金融盗刷类的投诉已接近200条,龙先生的情况显然并非个例。截至目前,京东尚未对此事作出回应。同时,龙先生已就此案向公安机关报案,《金融一线》后续将对此保持关注。

公开资料显示,京东金融在2013年10从京东集团内部正式独立运营。2018年9月17日晚间,京东金融的官方微博正式更改名称为“京东数科”。在此之前,京东金融一直强调自己是一家金融科技公司。

今年9月11日晚,上交所科创板披露了京东数科招股书。招股书显示,2017年-2019年以及2020年上半年,公司营业收入分别为90.70亿元、136.16亿元、182.03亿元及103.27亿元,保持高速增长;归母净利润分别为-38.20亿元、1.30亿元、7.90亿元及-6.70亿元。

京东金融疑似收集隐私

有网友在网上发布了两条视频,视频中显示京东金融的APP会不当获取用户的敏感图片信息,京东金融的行为引发了很多用户的质疑。在事件发酵之后,京东金融也很快就这一事件致歉,在其发来的书面回应中称,绝没有不当获取用户信息的意图和做法,已经下线了相关功能,并提出一系列整改措施。

网友阿木:“今天晚上发现一个很不得了的事情,拍个视频给大家说明一下。关于京东金融的软件做的一些见不得光的事情,我们来看一下。首先我们打开京东金融APP,然后他不要管他……”

这是微博网友“阿木”16号凌晨发布在微博上的一段体验视频,说的内容,大致是京东金融窃取用户的隐私图片,具体方式是:当京东金融在手机后台运行时,用户在使用手机其它应用时的屏幕截图,会被存储在京东金融的缓存当中。

昨天上午,京东金融方面发布文字说明称,这是京东金融在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融APP后进行了截图,京东金融会认为用户有可能想向客服投诉或建议。为了方便用户和客服沟通,京东金融在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。但无论如何,这一截图反馈功能,不具备图片自动上传的能力,图片只是缓存在用户手机本地。目前,京东金融已经下线“图片助手”功能。

但是,爆料的网友阿木认为,这一解释难以接受。因为,他在此之前还发现,用户使用其它手机应用时拍摄的照片,也会出现在京东金融的缓存文件当中。

网友阿木:“老样子,还是先打开京东金融APP把它放到后台,然后我们打开一个美颜相机,随便拍点东西,保存了图片之后,我们等一会儿回去,然后我们继续打开文件夹看一眼,我们可以看到一个596KB、2月16号的文件,我们打开看一看它是什么?我刚刚拍的照片。”

阿木接受媒体采访时表示,截图跟美颜相机拍照,是两个完全不同的目录,它把后者也复制了一份。

京东金融承认存在技术问题将定期进行安全检测

一位不愿具名的网络安全技术专家分析称,根据目前公开的信息,京东金融方面恶意窃取用户信息的可能性不大,更有可能是程序写入时的考虑不周所致。因为单凭这些截图,并不能危及网络交易安全。但是,不排除这一漏洞被人利用,进而威胁到用户的隐私。

昨天下午,京东金融就这一问题,再次发布文字说明,其中承认,这一APP在截图反馈功能开发上存在技术问题。具体为用户将京东金融APP切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融APP切换或退出时,将自动清空。

北京外国语大学电子商务与网络犯罪研究中心主任、法学院教授王文华认为,互联网提供的便利,应当建立在安全的前提下,而绝不能以牺牲公民隐私为代价。

王文华:“互联网企业应当把对用户的个人信息的保护放在举足轻重的位置,这个也是企业合规的最起码的要求。违反了以后不仅是侵犯消费者的合法权益,实际上也损害自身的可持续发展,应当从技术上从法律上从企业的法务的整体上给予足够的重视,防止之类的事情在发生,应该有足够有效的措施来保障这样一个制度的完善。”

京东金融在书面回应中称,下一步,京东金融今天将邀请权威官方机构对京东金融APP进行全面的安全性检测,并承诺未来每季度进行权威官方检测,及时公告检测结果,并将于本周邀请包括这次问题发现者网友“阿木”在内的用户和外部专家、媒体组成安全顾问小组,对京东金融APP提供的产品和服务进行独立、长期的检查监督。并将赋予内部安全技术团队对产品功能的直接否决权,将投入更多资源,建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。

今天小编为为大家整理的内容就是这些了,那么这些内容小编也不知道是否会对大家起到帮助,如果大家对于本站点有建设性的建议的话,欢迎大家留言哦,本站点也会不断的改进,希望大家能够持续关注环球信息网

京东 金融 客服 亿元 用户

最新文章