■本报记者 聂国春
3月10日,央视报道称,公安部破获一起窃取贩卖公民个人信息的特大案件,在该案件中有超过50亿条公民信息被泄露。根据报道,其中一名嫌疑犯系京东网络安全部员工,其监守自盗与黑客存在长期互相勾结行为。
京东方面随后表示,在腾讯与京东联合打击信息安全地下黑色产业链行动中,发现2016年6月底入职京东、尚处于试用期的网络工程师郑谋鹏系黑产团伙重要成员,并立即向公安机关提供了线索。
京东揪出窃取信息的“内鬼”,这个消息瞬间在京东白条用户中炸开了锅。在多数遭遇盗刷的白条用户看来,或许自己的个人信息就是这样被犯罪分子利用,然后盗刷了自己的钱财的。
记者调查发现,近年来,全国各地频频爆出京东白条盗刷事件。尤其是去年下半年以来,白条用户被盗事件发生得更加频繁,用户损失少则上千元,多则上万元,有些白条账户中绑定的信用卡也未能幸免。
胡先生是一位媒体人,也是一个重度的京东白条使用者。2014年,京东金融上线白条业务,为用户提供“先消费、后付款”“30天免息,随心分期”的服务。胡先生立马成为第一波体验用户,此后他在京东购物基本上不会用信用卡支付,而是优先选择京东白条,分期支付。
然而,去年10月12日凌晨,胡先生在选京东白条支付时,却被告知要向一个他根本不认识的手机号码发送验证码才能完成支付。而且,他的白条账户中还出现了3个待支付订单。“这是我发现京东白条的绑定手机号码第一次被别人篡改,而我竟然没有接到任何短信、邮件或者电话提醒。”胡先生说,他当即修改了京东账户的登录密码,以及京东白条的绑定手机号码。
然而,10月13日凌晨1点多,胡先生用新密码登录账户时,竟发现他的白条账户短时间内被盗刷了8笔,其中绑定的信用卡也被提示支付了6笔。
与胡先生一样,孙先生的白条账户也在去年10月底遭到盗刷。不法分子通过网络平台报停了他的手机,然后分4笔从他的白条额度和信用卡中盗取了17553元。经过反复交涉,最终京东方面返还了他的信用卡被盗款项,并表示白条账户不用归还。
不过,多数用户并没有如孙先生这么幸运。在一个上百人的白条被盗维权群里,多位白条用户表示,因为遭遇盗刷,现在几乎每天都收到催收短信,有些催收短信甚至采用恐吓语言。有些新近遭遇盗刷的用户,京东方面目前的回复则是“在调查处理中”。
多数被盗用户认为,京东是实名注册,绑定手机号,自己被修改了手机号和密码,竟然收不到任何验证码,这暴露了京东白条在账户安全方面存在漏洞。而“内鬼”的揪出,更表明京东金融的个人信息安全防范措施极差。
事实上,这不是京东首次陷入用户数据信息泄露风波。2016年12月,据媒体报道,一个12G的数据包在黑市上开始流通,包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。
虽然目前还无法证明白条用户盗刷事件与上述12G或者50亿条个人信息泄露存在多大关联,但这无疑给平台的信息安全敲响了警钟。
对此,京东金融发布《你盗刷我垫付 但我们绝不姑息黑产》的文章回应称,对用户反馈的盗刷问题一直高度重视,并且优先处理。用户不需要为盗刷承担任何损失,不必为犯罪分子的罪恶买单。
京东金融表示,犯罪分子能有机可乘的原因在于非法掌握了用户的敏感信息,包括姓名、银行卡号、身份证号、手机号等个人信息,然后利用撞库、病毒木马、云手机服务等一些漏洞,接管了目标用户的手机号,并通过一系列复杂行为劫持短信验证码。
京东金融指出,这种犯罪手法不仅针对京东白条,往往还针对整个金融服务行业。目前,对用户信息的盗取、倒卖等已经形成了黑色产业链,犯罪分子通常都是跨平台作案,危害较大。除了配合公安机关之外,京东金融也会不断升级风控能力,坚决打击黑产,保障用户的账户和资金安全。同时,京东金融也提醒用户,不要设置简单的与生日相关的弱强度密码,不要随便点击不明网站链接、登录不明WiFi等。