京东白条盗刷事件频现 黑产猖獗or系统漏洞?

近年来,互联网金融、消费金融快速崛起,在方便人们生活的同时,也成为黑色产业链人员的一块肥肉。

作为消费金融的代表,2014年,京东商城上线白条,为用户提供“先消费、后付款”“30天免息,随心分期”的服务。这一信用赊购服务,有效降低了消费门槛,促进了消费。

但近年来,全国各地频频爆出京东白条盗刷事件,让京东白条账户的安全性蒙上阴影。无论是来自地方媒体的报道,还是知乎、天涯、QQ群等消费者聚集地,均存在大量的京东消费者白条被盗刷的案例,涉及金额少则上千,多则上万,有些白条账户中绑定的信用卡也未能幸免。自2014年白条被盗以来,部分消费者的维权处于僵持状态,甚至不断遭遇催收公司“逼债”。

日前,央视报道,公安部破获的一起盗卖公民信息的特大案件中,50亿条公民信息被泄露,嫌疑犯被传是京东网络安全部员工监守自盗,与黑客长期相互勾结。京东日前发布声明证实,该案嫌疑人郑某鹏于2016年6月底入职京东,是尚处于试用期的网络工程师。

这或为京东白条被盗提供注解。但究竟是黑客太猖獗还是京东内部漏洞?随着3.15的到来,个人信息安全越来越受到关注,而京东白条被盗消费者群体也不该被遗忘。以下为《华夏时报》记者的调查报道。

白条被盗刷

深圳白领曼嘉是一名网购爱好者,早在几年前,她就是京东的用户,大到数码产品,小到衣服、甚至油米柴盐都网购,可谓是京东的“忠实客户”。

2014年,京东推出的“先消费,后付款”的白条服务后,吸引了大量像曼嘉这样的京东购物者,这种支付可享受最长30天的延后付款期或最长24期的分期付款方式,受到广大白领的喜好。

据零壹财经研究院数据,京东消费金融版块的白条、金条预计2016年累计成交1000亿元,这个庞大的数字背后正是来自于无数用户的每次购物消费。

曼嘉是在2016年10月才开通的京东白条,此后,京东白条也成为她网购支付的另一种方式。今年1月17日,曼嘉下班回家,看到她的手机收到各种来自京东短信,有验证码、白条短信,还有购物信息等。“我有两个手机,这个手机放家里的,当时意识到问题,赶紧上京东结果我的登陆密码显示错误,我通过手机、验证重新找回了自己的密码。”

曼嘉说,当她登陆到京东后台,显示有十条送货订单,自己一边赶紧取消订单,一边给京东客户打电话要求他们撤,“当时我在操作显示正在取消中,客户说会联系快递员取消订单,但最终我联系上快递员时购物单上的购物下午六七点已经送出。”

京东商城设有自营非自营店,为了方便用户快捷购物,京东开通当天下单当天送达的服务,而其中部分虚拟商品不需要物流。

曼嘉的京东购物单

“我不明白的是,为什么盗刷者没有看到我手机上的验证短信,但也能验证通过?”曼嘉说,这些购物短信显示,这批货是下午两点多下的单,主要是购置的大米,送货的地址是四川成都青羊区美丽朋城的居民楼里。

“因为京东的设置,无法看到收货人的手机短信,我当即和快递员联系,他说当时也疑惑为什么买这么多大米,但那边收货人说是快过年了要多买些大米。”这一次,曼嘉的白条共盗刷了2896元,但京东金融方面要她提供被盗刷的证据,否则不承认自己被盗刷。

从今年1月到现在,曼嘉的京东白条被盗一直未解决,京东客户方面的说法是“调查、确认、处理”等。

意识到问题的蹊跷,曼嘉开始网上搜索,她发现,无论是天涯社区、知乎等地都有很多被盗刷的人,还有一些网友自发建了白条盗刷维权群,各种的盗刷时间长短不一,有些早在2014年就盗刷,有些则是像她这样最近才被盗刷,而盗刷的金额少则两千,多的达到上万。

大量白条被盗者

不仅如此,有些京东白条被盗刷,有些与京东白条绑定的信用卡也未幸免。

北漂李一飞的京东白条是在2016年被盗刷,他向《华夏时报》记者回忆说:“去年9月时收了到信用卡账单两笔钱,有些不对,打电话给银行被告知是网银在线即京东商城上消费的,然后我登陆京东无法登陆,账号被盗。”

至于信用卡是如何被盗刷的,李一飞根本无从得知,只知道自己的信用卡是绑定在白条账户上,而不少消费者像她这样在不知不觉中被盗刷。

本报记者日前登陆京东白条页面,京东白条页面显示,有两种办法申请白条:“买理财激活白条”或“申请小白卡”,前者需要绑卡购买一定额度的京东金融理财产品,后者所说的申请小白卡则是与商业银行合作的信用卡,分为中信小白卡、民生小白卡、光大小白卡等,属于白条联名卡。

和李一飞同样遭遇信用卡被盗的白条用户张小林说,我在申请白条的过程中,京东让输入银行信息,其中包括验证码,但白条申请没有通过,事后我无意中发现有一条京东消费扣款信息,正好跟当时申请白条时间差不多。“而京东客户称输入验证码代表默认扣款,但我是在申请白条时信息泄露,继而导致盗刷,他们也有责任的。”

张小林说,因为这次盗刷的金额只有几百元,所以警方未予以立案。而李一飞的白条被盗后,警方则立了案,一份由北京市公安局朝阳分局双井派出所的报警证明显示:京东白条被盗刷8518.09元,账户内信用卡被盗刷300元人民币。

李一飞说,信用卡被盗的金额后来京东悄悄归还了,“但当我要求要把京东账号注销时,客户说白条还未还清,不能注销。”

为此,他与京东白条方面进行了多次交涉。京东白条官方微博答复李一飞的截图称:报案真实被盗订单产生的欠款暂时可无需理会,不会影响你个人信誉,也不会向你主张债权。

虽然如此,但是李一飞白条账户的利息却一直在增长,也未清零,双方僵处不下,2016年底开始,李一飞成为一名白条被盗维权者,“我们白条维权群仅春节之后就新增了五六十名白条受害者。”

《华夏时报》记者注意到,新浪微博、知乎、天涯、聚投诉等地大量白条被盗的贴子,其中,知乎上关于白条被盗的文章有34条、聚投诉上相关文章76条、天涯上相关文章也有几十篇,而这仅是文章数,在这些文章后面还有不少跟贴反映自己同样遭遇盗刷的经历,另外,微博、贴吧等地均有各类被盗的信息。

与此同时,京东白条被盗刷案在地方媒体均有所披露,《温州商报》2016年11月报道,当地市民邱先生的京东白条预消费功能被购买了9553元的东西,自己莫名其妙背上了这笔债务。天津《每日新闻》今年2月4日报道称,市民手机被设置呼叫转移 京东白条被盗刷一万多;《扬子晚报》今年2月23日报道,苏州市民徐某的账户白条突然欠款6499元,交易记录显示消费了一部价值6499元的苹果手机;《兰州晚报》今年3月3日一则报道称,市民李先生的京东白条被盗刷2900元。

从地方媒体报道来看,京东白条被盗刷见报的频次越来越高,从2014年出现被盗刷的案例,到现在京东白条盗刷持续时间有三年之久。

50亿公民信息被泄

日前,央视《新闻直播间》曝光一起重大数据泄露事件,其中涉及公民数据如姓名、账号、密码、手机号、身份证号、银行卡号、地址等总共50亿条信息。

值得注意的是,在50亿条公民数据信息中有不少是京东的数据。据了解,该犯罪团伙中,主要犯罪嫌疑人郑某鹏为京东网络安全部的员工,利用职务之便盗窃京东用户的大量数据。

3月10日,京东集团发布声明表示,与腾讯联合打击信息安全地下黑色产业链的日常行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑某鹏系黑产团伙的重要成员,并立即向公安机关提供了线索。

据公安部透露,此次案件的犯罪嫌疑人郑某鹏利用京东网络安全部员工这一身份,监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息——包括在京东、QQ上的物流信息,交易信息、个人身份等数据信息,为犯罪团伙实施违法犯罪活动提供了有力的技术保障。

这或为京东白条被盗提供了一些事实依据。但事实上,早在2015年底,《中国经营报》就曾披露过京东白条盗刷事件,引起消费者对京东金融账户安全及风险甄别能力的质疑。

2016年12月,有媒体报道,黑市上出现一份12G的数据包,包括用户名、密码、邮箱QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,“这些数据来自京东。”这曾将京东金融账户安全推向风口浪尖。

京东当时发表声明称,经初步判断,该数据源于2013年Struts 2的安全漏洞问题。在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

京东表示,针对出现在地下黑色产业链中采用黑客攻击用户账户,盗取用户账号资产和贩卖用户信息的行为不端,京东已与警方建立了长效合作机制,并将联合警方进行坚决打击。

也就是说,京东金融将账户安全问题指向了黑色数据产业链。

所谓黑色产业链,是指个人网上账户信息盗卖黑色链条,在这个灰色链条中,存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种,一方面是黑客利用系统漏洞获取,另一方面是内鬼倒卖数据。

京东金融有关负责人士在答《华夏时报》记者采访时说:绝大多数“盗刷”案件,都是因为欺诈份子通过“黑产”网络掌握了用户比较全面的个人信息,以至于通过“撞库”的方式直接登录被盗者的账户,这是违法犯罪行为。“在这一过程中,“黑产”欺诈份子对用户利益、京东金融声誉甚至金融行业正常秩序造成恶劣影响,“黑产”是行业寄生虫,黑产已经成为企业和用户,乃至全社会共同的敌人。”

系统漏洞还是黑客猖獗?

目前,尚无法证明京东白条盗刷事件多大程度上与12G或50亿条个人数据泄露有多大关联。

但是,自去年12月以来,京东白条被盗刷的事件仍在不断的发生。

《华夏时报》记者在一个白条被盗维权群看到,共有一百多名群友,陆续会有新的白条被盗者加入群,也有老的被盗群友交流最近维权的经验。

每个群友都会标注自己白条被盗的金额,少的金额一千多,大多数被盗者金额在8000以上。而这些被盗白条消费的物件也多种多样,这些商品包括大米、电脑、苹果手机等。多个发货地址指向四川成都,也有的发货地址则是南昌等地。还有些则是电影票、Q币、油卡、电话卡等,由于虚拟物品不需要物流,更容易套现。

群主紫电说,因为申请入群的人较多,所以要求加群的人员注明被盗金额等才能放行。而自己则是早在2014年白条就被盗刷,眼看着这些年被盗者有增无减的出现。“最近每天都会有受害者进群,究竟有多少被盗者则不得而知了。”

不少白条被盗者对京东的安全系统产生怀疑:“京东是实名注册,绑定手机号,但是被修改了身份证,手机号,登陆密码,连一个验证码我们都收不到。”

上述《温州商报》也质疑:“重置登录密码是本次事件最为关键的点,如果说‘停机’是蒙上了我的‘眼睛’,那么‘重置密码’就是为嫌疑人‘开了一扇门’,密码重置的服务中是否存在重大漏洞?”

《华夏时报》记者注意到,在地方媒体的报道中,均提到被盗刷者的手机突然出现“意外”时发生盗刷,有些消费者在被盗时被办理了“停机保号业务”,还有些则是遭遇“呼死你”的骚扰,目前,我国的手机号被办理停机保号,在运营商那只要回答问题就可以办理停号手续,而这又牵扯到个人信息泄露问题。

一本财经在《盗刷帝国》中披露:账户被盗中,最关键的一环是控制短信,截获验证码,黑客在登录用户账号开始盗刷后,可以直接让用户手机“停机”、“无信号”,也可以截获所有短信记录,而实现这一点需要伪基站或是木马。

本报记者从黑客知情人士处了解到,伪基站其实可以轻易购买到,其作用和运营商的基站一样,可以拦截用户短信、通话等功能。“伪基站其实是GSM的bug,这个bug是运营商公开的秘密,但对CDMA伪基站则没有办法,民用设备拦截不了信号,解决办法很简单,就是要改进GSM信号中转端,对信号加密。”

该知情人士认为,这种盗刷实际上也反映了运营商管理的缺位,才导致伪基站的出现。

目前,盗刷已形成完整的产业链,既有黑客获取账户数据,也有产业链上的各路技术高手的盗杀与配合,而这一切源于盗刷链条上的暴利。

在知乎上,一位网友发表《京东白条盗刷经过及分析》,详细描述了自己今年2月白条盗刷8882元的经历,这也基本上印证了这个黑色链条的存在:他在登陆京东账号时首先发现账户绑定的邮箱地址和手机号码均被篡改,与此同时,他的手机号被办理了停机保号手续。

《华夏时报》记者从该网友处了解到,其盗刷的8000多元仍未解决,而京东的答复就是“正在处理中”。

究竟是京东的系统漏洞还是黑客的技术太高明?

多位被盗刷者认为,盗刷问题很早就出现,而且近年来不断涌现,如果是外贼,可以说京东的数据安全防护措施是非常失败的,如果是里外勾结,那问题就更严重了。

催收“狂轰滥炸”

目前,白条被盗者反映不一,主要是被盗的时间有所不同。

有些被盗刷者惊魂未定地回忆经历,有些被盗者是要急着挽回损失,还有些则是在死磕京东,其中有多位被盗刷者被盗是在2015年,而盗刷的白条一直未清零。在他们看来,京东白条透支消费金额不注销,就像心中悬着的一块石头。

况且,这些被盗刷的白条违约金、利息每天都在增长,让他们焦虑不安,白条被盗之后,催收公司也找上门,这些催收中,既有京东催还白条欠款的短信,也有其他催收信息。

多白条被盗刷者给《华夏时报》记者表示,几乎每天都收到催收短信,其中一条短信显示:京东金融逾期提醒,逾期11000,逾期14天,为维护良好信用,请及时还款。

一名白条被盗者给本报记者提供的催收短信指明道姓地称:我已经查过你的实名制,如果你不愿意处理京东白条,那我们就把你的情况资料递交中国人民银行,拉黑你的个人征信并且京东会走法律起诉来追回欠款,相关函件一旦发到你户籍村委居委就撤不回来了,这些后果你自己承担。

深圳白领曼嘉也说,今年年初盗刷之后,催收公司开始频繁造访,要求及时缴白条欠款,“电话不断打进来,这些催收公司既有京东的催收,也有外包的催收。”曼嘉说。

深圳被盗刷者李馨称,自己在两年前京东白条被盗刷8000元,到现在滞纳金利息已滚到一万多,因为没还钱,自己就曾多次收到催收公司的起诉的威胁短信。

她对这些短信置之不理,而这些短信还一度发到了自己的家人手机中。

李馨收到的这些威胁短信显示,来自于某律师事务所,短信称自己是受京东委托,发信息的则是私人号码。“我报了警,警方的立案有据可查,但是京东还是把我们的信息给了第三方催收公司。”

《华夏时报》记者致电京东消费者维权热线,电话被转至京东金融,其中有一个按链的语音提示是:账户被盗请按3,如果账户发生异常请及时联系当地警方,第一时间报警。这像是京东金融为客户开通有白条盗刷“热线”。京东金融相关人士电话中称,如果确实是被盗刷,工作人员调查之后会进行处理。

京东金融有关人士答复本报记者采访时说,京东金融建议用户发现白条被盗刷后,请及时报警并第一时间拨打京东金融客服热线95118反馈问题,京东金融客服会优先核实处理,请不必担心。京东金融核实用户被盗刷,对于确认受害用户会进行先行垫付,最大限度减少和避免用户损失。另外,也会对用户白条账户进行暂时冻结,避免用户进一步遭受损失,同时主动和用户沟通,并做相应的处理和跟踪监控。

也有多名被盗者称,自己通过与京东反复交涉后,被盗刷的金额清零了,但维权时间会比较长。京东金融要求证明个人白条账户被盗的各种证据:公安报案回执单、手持银行卡正反面照片、本人手持身份证正反面照片、能够体现被盗的银行交易流水等信息。

但仍有不少被盗者的问题悬而未解,在他们看来,不仅是被盗金额的问题,更重要的是担心影响自己的个人征信受影响。

由于京东白条盗刷的金融普遍在一万以下,而且分散在不同省市的京东账户,由于额度小、破案难,有的地方派出所甚至不予立案,有的让受害人自己收集被盗的证据才立案。

《华夏时报》记者从多位被盗者的立案受理回执看到,目前,北京丰台看丹派出所、北京朝阳双井派出所、贵阳观山湖碧海派出所、惠州惠新派出所等多地公安已受理个人京东白条盗刷案。(李一飞、张林等京东白条被盗者名字为化名。)

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2017-03-15
京东白条盗刷事件频现 黑产猖獗or系统漏洞?
近年来,全国各地频频爆出京东白条盗刷事件,让京东白条账户的安全性蒙上阴影。

长按扫码 阅读全文