“京东金融疑存在支付安全漏洞”

今天，主编发现京东金融嫌疑人支付安全漏洞的存在受到网络关注的热度非常高。 随着京东金融嫌疑人支付安全漏洞的热度高涨，很多同伴将会了解这些事件。 当然，也有一些伙伴不知道京东金融嫌疑人支付安全漏洞的存在。 否则，就没关系了。 主编今天还特意抽出时间在网上整理和分享了京东金融嫌疑人的支付安全漏洞和相关复印件。 (以下复印件是互联网非小编写的。 发生侵害时，请联系站长删除)

/ h// h// h /

10据10月20日新闻报道，近日，一客户向“金融一线”投诉，称自己被京东金融捆绑的银行卡遭遇多起盗窃。 但是，京东金融客服表示，其行为不在盗刷请求的保障范围内，拒绝赔偿。 该客户认为，京东金融存在重大支付安全隐患，涉嫌将事故责任推给客户。

/ h// h// h /

克雷默先生(化名)说，10月14日上午10点34分，他发现自己的中国银行储蓄卡被扣了4笔人民币账，并立即登录了中国银行应用程序，向客服询问了具体情况。 中行工作人员通知龙先生，这4笔交易将通过京东金融支付渠道进行扣款。

/ h// h// h /

“说实话，我卸载京东半年了，这次是银行偷新闻下载的。 ”龙表示，盗印发生后，自己马上联系了京东金融的客服，但对方开始推卸责任，认为龙自己泄露了京东账号，因此拒绝了申请。

/ h// h// h /

根据龙先生提供的呼叫聊天截图，根据京东呼叫，从现有账户的安全权益保障范围判断，龙先生的行为(密码保管错误、验证码泄露、旧手机号码未解除等)为

/ h// h// h /

但是，龙先生说，没有任何密码保管错误、验证码泄露、旧手机号码未被解除的行为。 “我不知道京东金融为什么那么肯定，我的账户是我自己泄露的。 ’龙先生还指出，自己确实在偷窃之前收到了邮件的验证码，但当时并未亲自观察。 更何况，据说把验证码泄露给了别人。

/ h// h// h /

此外，龙先生还质疑，即使验证码等个人新闻被不法分子获取，京东金融也没有对异地注册设备管理设置密码认证、生物认证手段，存在较大的安全隐患。

/ h// h// h /

具体来看，龙先生被盗的一些交易发生在湖南省永州市，他本人一直在湖北省。 一般来说，金融类应用对异地登录设置了生物认证和密码认证等安全对策。

/ h// h// h /

(/h ) )除了对异地登录的安全管理不到位外，龙先生还认为，京东金融的非法支付也是自己被盗的重要原因之一。 据悉，龙先生此前开通了京东的免密支付功能，不超过500元的费用无需输入密码进行确认。 这次被盗的4起费用，都在500元的无密限额以下。

/ h// h// h /

(/h ) )“不偷运对客户很方便，但如果没有完善的安全措施，偷运就会变得非常‘可怕’。 ”龙先生说，作为受害者，最想警告客户的是，如果决定不使用京东应用，最好解除绑定的银行卡。 关闭白条等借款功能，以及过度支付、闪付等功能。 因为是京东金融的支付系统，所以被远程盗登录不需要面部认证、指纹认证。 这意味着，骗子只需要通过非法手段获取短信验证码，就可以自由盗用资金，而无需平衡密码。

/ h// h// h /

文芳阁投诉平台数据显示，目前平台上京东金融盗刷类投诉近200起，龙的情况显然不是一例。 到目前为止，京东还没有对此事做出回应。 然后，龙先生就此事件向公安机关进行了通报。 《金融一线》的后续将关注这一点。

/ h// h// h /

公开资料显示，京东金融于去年10月正式独立于京东集团内部运营。 年9月17日晚，京东金融官方微博正式更名为“京东几科”。 一直以来，京东金融都强调自己是金融科技企业。

/ h// h// h /

今年9月11日晚，上海证券交易所科技创板发布京东几科招股书。 股东募集书显示，年-2019年及年上半年，企业营业收入分别为90.70亿元、136.16亿元、182.03亿元及103.27亿元，保持高速增长。 归母净利润分别为-38.20亿元、1.30亿元、7.90亿元和-6.70亿元。

/ h// h// h /

/ h// h// h /

/ h// h// h// h /

京东金融虚假收集隐私

/ h// h// h /

一位网友在网上发布了两条视频。 视频显示，京东金融的应用显示非法获取客户敏感的照片新闻，京东金融的行为引起了不少客户的质疑。 事件发酵后，京东金融也立即就此事道歉，在发送来的书面答复中表示，没有非法获取顾客新闻的意图和方法，使相关功能离线，并提出了一系列改进措施。

/ h// h// h /

网友阿木:“今晚发现了荒唐的事件。 我给你拍个视频证明一下吧。 让我们来看看京东金融软件制造的一些看不见的事件。 首先打开京东金融应用。 然后他就不要管他了……”

/ h// h// h /

这是微博网民“阿木”16日凌晨在微博上发布的体验视频，据说京东金融窃取了顾客的隐私照片。 具体方法是:京东金融在手机后台运行时，顾客采用手机其他应用时的截图，存储在京东金融的缓存中。

/ h// h// h /

昨天上午，京东金融方面公布了复印件证书。 这是京东金融去年12月发布的版本中方便的小功能。 如果客户打开京东金融应用进行了截图，京东金融可能会想向客户投诉和建议。 为了方便客户和客户的信息表达，京东金融在客户界面的左上角展示了图片提示，客户可以进一步选择是否联系客户发送图片。 无论如何，该截图的反馈功能都没有自动签入图像的能力，而图像只是缓存在客户手机的本地。 目前，京东金融已经将“图像助理”功能下线。

/ h// h// h /

但是，山寨网民阿木认为，这一解释难以接受。 因为，他在此之前发现，客户采用其他手机应用时拍摄的照片也会出现在京东金融的缓存文件中。

/ h// h// h /

网友阿木:“老样子，先打开京东金融应用把它放在后台，然后我们打开美颜相机，随便拍点东西，留下照片后，我们等一会儿回去，然后打开文件夹 我们看看那是什么吧？ 是刚才拍的照片。 ”

/ h// h// h /

阿木在接受媒体采访时表示，截图和美颜相机拍照是两个完全不同的目录，后者也进行了复制。

/ h// h// h /

/ h// h// h /

/ h// h// h// h /

京东金融承认存在技术问题定期进行安全检查

/ h// h// h /

不愿出名字的网络安全技术专家分析称，根据目前公开的新闻，京东金融方面恶意窃取顾客新闻的可能性很低，很可能缺乏程序写入时的考虑。 因为光靠这些截图是不能威胁网络交易的安全的。 但是，不排除这个漏洞被滥用，客户的隐私受到威胁。

/ h// h// h /

昨天下午，京东金融就此问题重新颁发了复印件证书。 其中，该应用承认了截图反馈功能的开发存在技术问题。 具体来说，在为客户将京东金融app切换到后台后，该功能将继续工作，不断收到新的图像通知(如截图和照片)，并保存在手机的本地缓存中，但原功能设计诉求在切换后自动停止该功能 另外，经过安全技术团队的深入判断，该功能也不应该通过手机缓存技术实现，而应该通过手机实时存储器( ram )实现，加强报警。 无需采用手机本地缓存，京东金融app切换或退出后，将自动清除) (/k0/)。

/ h// h// h /

北京外国语大学电子商务与网络犯罪研究中心主任、法学院教授王文华认为，网络提供的便利，应当建立在安全的前提下，不能牺牲市民的隐私。

/ h// h// h /

王文华:“互联网公司应该把保护顾客的个人新闻放在重要位置，这也是公司合规的最低要求。 违反后，不仅会侵害客户的合法权益，实际上也会损害自己的可持续快速发展。 必须从技术上和法律上充分重视公司法务的整体，避免发生这种事件。 需要采取充分有效的措施来保障这种制度的完整性。 ”

/ h// h// h /

京东金融在书面答复中表示，作为下一步，京东金融今天邀请权威官方机构对京东金融应用进行全面安全性检测，并承诺将在未来季度进行权威官方检测，并适时公告检测结果，本周，本次问题发现者网 邀请媒体组成安全顾问小组，对京东金融应用提供的产品和服务独立，赋予长时间内部安全技术团队对产品功能的直接否决权，投入越来越多的资源，建立更严格的安全审查机制，使所有技术应用和业务功能

/ h// h// h /

本文：《“京东金融疑存在支付安全漏洞”》