拉菲2_拉菲2直属_拉菲2登陆_拉菲2测速|国家扶贫重点单位!
拉菲2直属QQ

716943

工作时间:周一到周六 AM8:30

在线服务

Breeding achievements

联系我们

CONTACT

地址:重庆市朝阳区鸟巢水立方
电话:716943
传真:0317-8888888
邮箱:716943@vip.qq.com

【热议】京东白条漏洞 大学生因为“好玩”从此

2019-03-21

京东白条频现盗刷事件 黑产猖獗or系统漏洞?

近年来,全国各地频频爆出京东白条盗刷事件,让京东白条账户的安全性蒙上阴影。经过调查后发现,京东金融将账户安全问题指向了黑色数据产业链。然而,有媒体质疑京东的系统漏洞可能是白条被盗刷的关键。

近年来,、快速崛起,在方便人们生活的同时,也成为黑色产业链人员的一块肥肉。

作为消费的代表,,京东商城上线白条,为用户提供“先消费、后付款”“30天免息,随心分期”的服务。这一信用赊购服务,有效降低了消费门槛,促进了消费。

但近年来,全国各地频频爆出盗刷事件,让京东白条账户的安全性蒙上阴影。无论是来自地方媒体的报道,还是知乎、天涯、qq群等消费者聚集地,均存在大量的京东消费者白条被盗刷的案例,涉及金额少则上千,多则上万,有些白条账户中绑定的也未能幸免。自2014年白条被盗以来,部分消费者的维权处于僵持状态,甚至不断遭遇公司“逼债”。

日前,央视报道,公安部破获的一起盗卖公民信息的特大案件中,50亿条公民信息被泄露,嫌疑犯被传是京东网络安全部员工监守自盗,与黑客长期相互勾结。京东日前发布声明证实,该案嫌疑人郑某鹏于6月底入职京东,是尚处于试用期的网络工程师。

这或为京东白条被盗提供注解。但究竟是黑客太猖獗还是京东内部漏洞?随着3.15的到来,个人信息安全越来越受到关注,而京东白条被盗消费者群体也不该被遗忘。以下为《华夏时报》记者的调查报道。

深圳白领曼嘉是一名网购爱好者,早在几年前,她就是京东的用户,大到数码产品,小到衣服、甚至油米柴盐都网购,可谓是京东的“忠实客户”。

2014年,京东推出的“先消费,后付款”的白条服务后,吸引了大量像曼嘉这样的京东购物者,这种支付可享受最长30天的延后付款期或最长24期的分期付款方式,受到广大白领的喜好。

曼嘉是在2016年10月才开通的京东白条,此后,京东白条也成为她网购支付的另一种方式。今年1月17日,曼嘉下班回家,看到她的手机收到各种来自京东短信,有验证码、白条短信,还有购物信息等。“我有两个手机,这个手机放家里的,当时意识到问题,赶紧上京东结果我的登陆密码显示错误,我通过手机、验证重新找回了自己的密码。”

曼嘉说,当她登陆到京东后台,显示有十条送货订单,自己一边赶紧取消订单,一边给京东客户打电话要求他们撤,“当时我在操作显示正在取消中,客户说会联系快递员取消订单,但最终我联系上快递员时购物单上的购物下午六七点已经送出。”

京东商城设有自营非自营店,为了方便用户快捷购物,京东开通当天下单当天送达的服务,而其中部分虚拟商品不需要物流。

“我不明白的是,为什么盗刷者没有看到我手机上的验证短信,但也能验证通过?”曼嘉说,这些购物短信显示,这批货是下午两点多下的单,主要是购置的大米,送货的地址是成都青羊区美丽朋城的居民楼里。

“因为京东的设置,无法看到收货人的手机短信,我当即和快递员联系,他说当时也疑惑为什么买这么多大米,但那边收货人说是快过年了要多买些大米。”这一次,曼嘉的白条共盗刷了2896元,但方面要她提供被盗刷的证据,否则不承认自己被盗刷。

从今年1月到现在,曼嘉的京东白条被盗一直未解决,京东客户方面的说法是“调查、确认、处理”等。

意识到问题的蹊跷,曼嘉开始网上搜索,她发现,无论是天涯社区、知乎等地都有很多被盗刷的人,还有一些网友自发建了白条盗刷维权群,各种的盗刷时间长短不一,有些早在2014年就盗刷,有些则是像她这样最近才被盗刷,而盗刷的金额少则两千,多的达到上万。

不仅如此,有些京东白条被盗刷,有些与京东白条绑定的信用卡也未幸免。

北漂李一飞的京东白条是在2016年被盗刷,他向《华夏时报》记者回忆说:“去年9月时收了到两笔钱,有些不对,打电话给银行被告知是即京东商城上消费的,然后我登陆京东无法登陆,账号被盗。”

至于,李一飞根本无从得知,只知道自己的信用卡是绑定在白条账户上,而不少消费者像她这样在不知不觉中被盗刷。

本报记者日前登陆京东白条页面,京东白条页面显示,有两种办法申请白条:“激活白条”或“申请小白卡”,前者需要绑卡购买一定额度的京东,后者所说的申请小白卡则是与商业银行合作的信用卡,分为中信小白卡、民生小白卡、等,属于白条联名卡。

和李一飞同样遭遇的白条用户张小林说,我在申请白条的过程中,京东让输入银行信息,其中包括验证码,但白条申请没有通过,事后我无意中发现有一条京东消费扣款信息,正好跟当时申请白条时间差不多。“而京东客户称输入验证码代表默认扣款,但我是在申请白条时信息泄露,继而导致盗刷,他们也有责任的。”

张小林说,因为这次盗刷的金额只有几百元,所以警方未予以立案。而李一飞的白条被盗后,警方则立了案,一份由市公安局朝阳分局双井派出所的报警证明显示:京东白条被盗刷8518.09元,账户内300元人民币。

李一飞说,信用卡被盗的金额后来京东悄悄归还了,“但当我要求要把京东账号注销时,客户说白条还未还清,不能注销。”

为此,他与京东白条方面进行了多次交涉。京东白条官方微博答复李一飞的截图称:报案真实被盗订单产生的欠款暂时可无需理会,不会影响你个人信誉,也不会向你主张。

虽然如此,但是李一飞白条账户的利息却一直在增长,也未清零,双方僵处不下,2016年底开始,李一飞成为一名白条被盗维权者,“我们白条维权群仅春节之后就新增了五六十名白条受害者。”

《华夏时报》记者注意到,新浪微博、知乎、天涯、聚投诉等地大量白条被盗的贴子,其中,知乎上关于白条被盗的文章有34条、聚投诉上相关文章76条、天涯上相关文章也有几十篇,而这仅是文章数,在这些文章后面还有不少跟贴反映自己同样遭遇盗刷的经历,另外,微博、贴吧等地均有各类被盗的信息。

与此同时,京东白条被盗刷案在地方媒体均有所披露,《温州商报》2016年11月报道,当地市民邱先生的京东白条预消费功能被购买了9553元的东西,自己莫名其妙背上了这笔债务。《每日新闻》今年2月4日报道称,市民手机被设置呼叫转移 京东白条被盗刷一万多;《扬子晚报》今年2月23日报道,苏州市民徐某的账户白条突然欠款6499元,交易记录显示消费了一部价值6499元的苹果手机;《兰州晚报》今年3月3日一则报道称,市民李先生的京东白条被盗刷2900元。

从2014年出现被盗刷的案例,到现在京东白条盗刷持续时间有三年之久。

日前,央视《新闻直播间》曝光一起重泄露事件,其中涉及公民数据如姓名、账号、密码、手机号、身份证号、、地址等总共50亿条信息。

值得注意的是,在50亿条公民数据信息中有不少是京东的数据。据了解,该犯罪团伙中,主要犯罪嫌疑人郑某鹏为京东网络安全部的员工,利用职务之便盗窃京东用户的大量数据。

3月10日,京东集团发布声明表示,与腾讯联合打击信息安全地下黑色产业链的日常行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员,并立即向公安机关提供了线索。

此次案件的犯罪嫌疑人郑某鹏利用京东网络安全部员工这一身份,监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、qq上的物流信息,交易信息、个人身份等数据信息,为犯罪团伙实施违法犯罪活动提供了有力的技术保障。

这或为京东白条被盗提供了一些事实依据。但事实上,早在底,《中国经营报》就曾披露过京东白条盗刷事件,引起消费者对京东金融账户安全及风险甄别能力的质疑。

2016年12月,有媒体报道,黑市上出现一份12g的数据包,包括用户名、密码、邮箱qq号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,“这些数据来自京东。”这曾将京东金融账户安全推向风口浪尖。

京东当时发表声明称,经初步判断,该数据源于struts 2的安全漏洞问题。在struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

京东表示,针对出现在地下黑色产业链中采用黑客攻击用户账户,盗取用户账号资产和贩卖用户信息的行为不端,京东已与警方建立了长效合作机制,并将联合警方进行坚决打击。

京东金融将账户安全问题指向了黑色数据产业链。

所谓黑色产业链,是指个人网上账户信息盗卖黑色链条,在这个灰色链条中,存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种,一方面是黑客利用系统漏洞获取,另一方面是内鬼倒卖数据。

京东金融有关负责人士在答《华夏时报》记者采访时说:绝大多数“盗刷”案件,都是因为欺诈份子通过“黑产”网络掌握了用户比较全面的个人信息,以至于通过“撞库”的方式直接登录被盗者的账户,这是违法犯罪行为。“在这一过程中,“黑产”欺诈份子对用户利益、京东金融声誉甚至金融行业正常秩序造成恶劣影响,“黑产”是行业寄生虫,黑产已经成为企业和用户,乃至全社会共同的敌人。”

系统漏洞还是黑客猖獗?

目前,尚无法证明京东白条盗刷事件多大程度上与12g或50亿条个人数据泄露有多大关联。

但是,自去年12月以来,京东白条被盗刷的事件仍在不断的发生。

《华夏时报》记者在一个白条被盗维权群看到,共有一百多名群友,陆续会有新的白条被盗者加入群,也有老的被盗群友交流最近维权的经验。

每个群友都会标注自己白条被盗的金额,

少的金额一千多,大多数被盗者金额在8000以上。

而这些被盗白条消费的物件也多种多样,这些商品包括大米、电脑、苹果手机等。多个发货地址指向四川成都,也有的发货地址则是南昌等地。还有些则是电影票、q币、油卡、电话卡等,由于虚拟物品不需要物流,更容易套现。

群主紫电说,因为申请入群的人较多,所以要求加群的人员注明被盗金额等才能放行。而自己则是早在2014年白条就被盗刷,眼看着这些年被盗者有增无减的出现。“最近每天都会有受害者进群,究竟有多少被盗者则不得而知了。”

不少白条被盗者对京东的安全系统产生怀疑:“京东是实名注册,绑定手机号,但是被修改了身份证,手机号,登陆密码,连一个验证码我们都收不到。”

上述《温州商报》也质疑:“

重置登录密码是本次事件最为关键的点,如果说‘停机’是蒙上了我的‘眼睛’,那么‘重置密码’就是为嫌疑人‘开了一扇门’,密码重置的服务中是否存在重大漏洞?

《华夏时报》记者注意到,在地方媒体的报道中,均提到被盗刷者的手机突然出现“意外”时发生盗刷,有些消费者在被盗时被办理了“停机保号业务”,还有些则是遭遇“呼死你”的骚扰,目前,我国的手机号被办理停机保号,在运营商那只要回答问题就可以办理停号手续,而这又牵扯到个人信息泄露问题。

一本财经在《盗刷帝国》中披露:账户被盗中,最关键的一环是控制短信,截获验证码,黑客在登录用户账号开始盗刷后,可以直接让用户手机“停机”、“无信号”,也可以截获所有短信记录,而实现这一点需要伪基站或是木马。

本报记者从黑客知情人士处了解到,伪基站其实可以轻易购买到,其作用和运营商的基站一样,可以拦截用户短信、通话等功能。“伪基站其实是gsm的bug,这个bug是运营商公开的秘密,但对cdma伪基站则没有办法,民用设备拦截不了信号,解决办法很简单,就是要改进gsm信号中转端,对信号加密。”

该知情人士认为,这种盗刷实际上也反映了运营商管理的缺位,才导致伪基站的出现。

目前,盗刷已形成完整的产业链,既有黑客获取账户数据,也有产业链上的各路技术高手的盗杀与配合,而这一切源于盗刷链条上的暴利。

在知乎上,一位网友发表《京东白条盗刷经过及分析》,详细描述了自己今年2月白条盗刷8882元的经历,这也基本上印证了这个黑色链条的存在:

他在登陆京东账号时首先发现账户绑定的邮箱地址和手机号码均被篡改,与此同时,他的手机号被办理了停机保号手续。

究竟是京东的系统漏洞还是黑客的技术太高明?

多位被盗刷者认为,盗刷问题很早就出现,而且近年来不断涌现,如果是外贼,可以说京东的数据安全防护措施是非常失败的,如果是里外勾结,那问题就更严重了。

目前,白条被盗者反映不一,主要是被盗的时间有所不同。

有些被盗刷者惊魂未定地回忆经历,有些被盗者是要急着挽回损失,还有些则是在死磕京东,其中有多位被盗刷者被盗是在2015年,而盗刷的白条一直未清零。在他们看来,京东白条透支消费金额不注销,就像心中悬着的一块石头。

况且,这些被盗刷的白条违约金、利息每天都在增长,让他们焦虑不安,

白条被盗之后,催收公司也找上门,这些催收中,既有京东催还白条欠款的短信,也有催收信息。

多白条被盗刷者给《华夏时报》记者表示,几乎每天都收到催收短信,其中一条短信显示:京东金融提醒,逾期11000,逾期14天,为维护良好信用,请及时还款。

一名白条被盗者给本报记者提供的催收短信指明道姓地称:我已经查过你的实名制,如果你不愿意处理京东白条,那我们就把你的情况资料递交中国人民银行,拉黑你的并且京东会走法律起诉来追回欠款,相关函件一旦发到你户籍村委居委就撤不回来了,这些后果你自己承担。

深圳白领曼嘉也说,今年年初盗刷之后,催收公司开始频繁造访,要求及时缴白条欠款,“电话不断打进来,这些催收公司既有京东的催收,也有外包的催收。”曼嘉说。

深圳被盗刷者李馨称,自己在两年前京东白条被盗刷8000元,到现在滞纳金利息已滚到一万多,因为没还钱,自己就曾多次收到催收公司的起诉的威胁短信。

她对这些短信置之不理,而这些短信还一度发到了自己的家人手机中。

我报了警,警方的立案有据可查,但是京东还是把我们的信息给了第三方催收公司。

《华夏时报》记者致电京东消费者维权热线,电话被转至京东金融,其中有一个按链的语音提示是:账户被盗请按3,如果账户发生异常请及时联系当地警方,第一时间报警。这像是京东金融为客户开通有白条盗刷“热线”。京东金融相关人士电话中称,如果确实是被盗刷,工作人员调查之后会进行处理。

京东金融有关人士答复本报记者采访时说,京东金融建议用户发现白条被盗刷后,请及时报警并第一时间拨打京东金融客服热线95118反馈问题,京东金融客服会优先核实处理,请不必担心。京东金融核实用户被盗刷,对于确认受害用户会进行先行,最大限度减少和避免用户损失。另外,也会对用户白条账户进行暂时冻结,避免用户进一步遭受损失,同时主动和用户沟通,并做相应的处理和跟踪监控。

自己通过与京东反复交涉后,被盗刷的金额清零了,但维权时间会比较长。京东金融要求证明个人白条账户被盗的各种证据:公安报案回执单、手持正反面照片、本人手持身份证正反面照片、能够体现被盗的银行交易流水等信息。

但仍有不少被盗者的问题悬而未解,在他们看来,不仅是被盗金额的问题,更重要的是担心影响自己的个人受影响。

由于京东白条盗刷的金融普遍在一万以下,而且分散在不同省市的京东账户,由于额度小、破案难,有的地方派出所甚至不予立案,有的让受害人自己收集被盗的证据才立案。

《华夏时报》记者从多位被盗者的立案受理回执看到,目前,北京丰台看丹派出所、北京朝阳双井派出所、贵阳观山湖碧海派出所、惠州惠新派出所等多地公安已受理个人京东白条盗刷案。(李一飞、张林等京东白条被盗者名字为化名。)

---延伸阅读---

和李一飞同样遭遇的白条用户张小林说,我在申请白条的过程中,京东让输入银行信息,其中包括验证码,但白条申请没有通过,事后我无意中发现有一条京东消费扣款信息,正好跟当时申请白条时间差不多。“而京东客户称输入验证码代表默认扣款,但我是在申请白条时信息泄露,继而导致盗刷,他们也有责任的。”

而且此次既然是有组织了也就是说大家分工明确了,一句“好玩”就能把事情搪塞过去吗?大学生应该把聪明放在学业上,而不是做这种诈骗行为,而且此次京东损失的是110万,这不是一笔小数目,对于这些即将毕业的大学生来说,这笔钱是来的很快,但是有没有想过10年有期徒刑出来,又有多少企业愿意接受?大学生了这点法律常识都没有吗,无非就是侥幸心理。学生,还是好好学习的,不要把自己的聪明才智用到这些歪点子上。

  冒充在校大学生,首先就要获取大学生的身份证。汪某发现,一些大学生在网吧使用身份证后,常常将身份证落在网吧。之后,汪某从长沙某高校附近的一个网吧,花了200元买了一张在校学生的身份证。利用身份证上的信息、以及新买的手机号,汪某在学信网上注册了一个账号,查询到这张身份证对应的学籍信息。

也有不少人认为,漏洞不是违法犯罪的借口:

古驰炮轰阿里京东 京东上的古驰自营店卖的是正品吗?

张某手持买来的身份证和查询到的学籍信息向面签官申请进行“京东白条”审核。面签官仅对张某进行简单的问询式面签,对身份信息并没有进行仔细核对,就完成了初审,然后把初审材料发往公司后台,由公司后台进行最终审核。

  近日,招商银行、交通银行相继暂停京东白条的信用卡还款通道,京东白条再次面临质疑。目前在京东商城购物,快捷支付通道中已经不能绑定上述两家银行信用卡。深度玩卡团队表示,本身京东白条产品并无问题,“现在的问题是在还款环节中出现一些纰漏,这两家银行应该考虑的是还款过程中产生的纰漏,所以才在政策上有一些调整”。虽然京东金融回应称,目前与国内各大主流商业银行合作情况良好。不过,也有业内人士认为“未来不排除其他银行跟进的可能”。

值得注意的是,在50亿条公民数据信息中有不少是京东的数据。据了解,该犯罪团伙中,主要犯罪嫌疑人郑某鹏为京东网络安全部的员工,利用职务之便盗窃京东用户的大量数据。

  据了解,“京东白条”是京东金融旗下的一款消费贷款产品,消费者在京东商城上消费,可以享受到先买东西后付款的待遇。换句话说,就是一种“先消费,后付款”的网络虚拟信用卡,是京东公司为在校大学生所设立的一种消费模式。与一般信用卡不同的是,“京东白条”只能在京东网站内使用,在京东网站使用白条进行付款,可以享有最长30天的延后付款期或最长24期的分期付款服务。

计划确定后,汪某先后在各高校网吧和长沙火车站附近以每张300元不等的价格,购买了90余张身份证。

京东白条存漏洞 账号被盗白条被盗刷

为此,他与京东白条方面进行了多次交涉。京东白条官方微博答复李一飞的截图称:报案真实被盗订单产生的欠款暂时可无需理会,不会影响你个人信誉,也不会向你主张。

版权所有:Copyright © 2002-2018 拉菲2平台网站 版权所有 直属QQ:716943

地址:重庆市朝阳区鸟巢水立方 ICP备案编号: 渝ICP备14002020号-1 技术支持:拉菲2

友情链接: 百度 拉菲2直属 拉菲2 拉菲2登陆 拉菲2测速