这是《我就是不服》的第153篇

原创| 玄云君

01

在这之前，我应该算是京东的忠实用户，无论是购物还是金融。

我是京东Plus会员。 我通常在京东购买大件产品。 去年和前年，我在京东的消费都超过了10万。

金融方面，我之前在公众号推荐过京东金融的富民宝，我自己也投资了几十万。

以上是一些背景信息。 对于京东来说，我应该算是一个忠实用户。

我写这篇文章绝对不是为了抹黑京东，而是昨天发生的一些事情让我对京东平台的安全性产生了很大的怀疑，所以我觉得有必要写下来让更多的人知道。

事情的起因是，妈妈也想在京东金融购买一些金融产品，而京东金融和京东商城的账户是可以互通的，所以我先帮妈妈在京东商城注册了一个账户。

在实名认证步骤中，我发现妈妈的身份证信息被别人使用了，而且绑定的手机号码是陌生的（所以不存在路边被人拦下不小心被盗的可能性）开设京东账户）。

于是我点击了“申诉检索”，选择了“我从未做过实名操作，我的实名被占用”这一栏。

然后我发现冒充我妈妈身份证的人打开了“京东小金库”和“京东钱包”，导致无法点击“下一步”（按钮变成灰色），于是自助申诉路径被封锁。 死了。

无奈之下，我在网页上找到了人工服务，客服报告说需要注销原来的账户（也就是冒充我妈妈身份证的账户），然后才能重新进行实名认证。 。 如需注销该账户，您必须先注销该账户上的京东小金库和京东钱包。

关键是我必须登录一个不属于我的账户才能注销才能纠正实名认证，这让我感觉很不舒服。

登录别人的账户注销他们的金融账户让我感觉自己好像私下访问了别人的钱包，这给我带来了道德压力。

当然，我知道是那个人先使用了我母亲的身份信息，但造成这种情况的却是京东实名认证过程中存在的巨大安全漏洞。 这个漏洞让我感到后背发凉。

因为京东不仅仅是一个购物平台，它还是一个金融平台，是用户的钱包，甚至可以打白条、借钱。

我当时最担心的是，会不会有人用“京东白条”进行分期购物，然后不还钱，从而影响我妈妈的信用评分。

客服没有直接回答我的问题，只是让我上传身份证正反面照片进行申诉。

由于当时已经是晚上12点多了，我怕打扰妈妈睡觉，所以决定第二天上诉。

02

与客服交谈完后，我去知乎搜索相关话题，发现我遇到的情况并非个例。

在“京东实名认证被占用如何处理？”这两个主题下以及“关于京东实名认证！差评！？”等，不少人表达了类似的经历以及对个人信息安全的担忧。

例如，有人说他帮同事在京东付款，但不知何故他的信用卡绑定了同事的京东账户，并自动进行了实名认证。

也有人表示，身份证被冒用后，申诉时上传了身份证和护照照片，但申诉依然失败。

而且这种情况并不是独一无二的。 甚至有人遇到冒充自己身份开通京东白条的人。

（我怕谁坐在家里，债就从天上来了……）

“我申诉了几次都没有成功，说明对方是白条用户，我该怎么办？需要打电话给客服吗？对方不会让我还欠钱吧？”

另一位自称在银行系统工作的匿名用户表示，他在投诉时，向京东客服上传了一张自己拿着身份证的照片，最后注销了京东的小金库。

“想到这里我还是觉得害怕，谁能用我的身份证号码直接验证我的真实姓名，只是一串数字？里面没有我身份证的照片！如果我开某种欠条，借钱……会导致欠钱，会影响我的个人信用吗？后果我不敢想象……”

于是他决定注销冒充他身份的京东账号，但他又遇到了一个更棘手的问题。

客服告诉他，要注销京东账户，必须先退出京东钱包。 然而，点击京东钱包后，他发现钱包被锁定了（因为太久没有使用了）。 到了这一步，就不仅仅是拿着身份证照片那么简单了； 解锁时需提供银行卡正反面照片。

该匿名用户表示，由于自己在银行系统工作，所以对此事特别谨慎。

信用卡的正面有卡号和有效期，背面有授权码。 后者是客户的最终隐私。

“说到这里，我感到脊背发凉。作为一家不能称为金融公司的网购公司，首先它不是国家机构。其次，你与利益息息相关。而且，你又不是借钱给我，简单的验证一下我的身份。，只是解锁一个空账户，拿着身份证正反面，这已经过分了！为什么还需要客户银行卡的正反面？？这只是给你解锁的？？”

由于担心自己的隐私被泄露，他拒绝提供持有银行卡的照片。 结果，频繁申诉也未能解决问题。

（这位网友的留言很长，有兴趣的可以去知乎话题“京东实名认证被占用如何处理？”查看）

当然，上述信息只是网友的片面言论，我无法求证是否属实，但其中有一些确实提供了证据，所以我相信身份证被冒用绝非孤例。

更重要的是，他们还提醒我不要轻易提供持有身份证和银行卡的照片。 这可能会泄露您的隐私，甚至产生您无法预见的后果。

03

今天中午，拍完妈妈拿着身份证的照片后，我特意在照片上加上了一段文字：“此照片仅供申诉京东账号找回”。 这也是理所当然的。

从流程设计上来说，确实需要将身份证信息亲自一并呈现。 否则，一旦有人知道您的身份证号码，可能会恶意投诉，导致您的账户无法正常使用。

但我认为京东在申诉流程的设计上仍然存在漏洞。 例如，客服人员会偷偷拍下用户持有身份证件的照片来做一些意想不到的事情（比如申请贷款）吗？

京东并非从未发生过用户信息泄露事件。

早在2015年初，京东就被曝出大量用户私人信息被泄露，不少用户钱财被骗，总共损失数百万元。

京东当时的回应是，部分用户使用相同的注册信息（用户名和密码）在其他网站泄露后，被不法分子采用“撞库”的方式进行诈骗。

翻译白话就是，你的信息在其他网站上被泄露，而你在京东账户上设置的用户名和密码与其他网站账户上的用户名和密码相同，所以你被欺骗了。

京东的回应可以说是彻底的推卸责任，但事实并非如此。

据法制晚报报道，京东用户信息之所以被泄露，是因为京东有“内幕”。

李军和另外三名京东物流人员通过QQ群向买家出售了9313条客户信息。 每条信息的价格从最初的3毛钱、5毛钱，到1.5元逐渐上涨。

也就是说，这完全是一起内幕盗窃案。

所以你让我把自己拿着身份证的照片发给京东客服人员。 说实话，我有顾虑。

但不这样做就无法更正自己的身份信息，只能在照片上写上“此照片仅供京东账号检索申诉”以防万一，实在是无奈。

让我难以理解的是，为什么京东在自助申诉中不使用动态人像识别进行验证呢？

动态人像识别要求人在镜头前眨眼，这显然比静态照片安全（因为照片可能被盗，如果要求人眨眼，骗子就无法通过验证），并且通过自助申诉渠道还可以降低内部人员实施犯罪的风险。

作为一个外行人，我都能想到这些风险，很难想象京东的财务团队不会想到这些风险。

还有一个我觉得不可接受的安全漏洞是，京东的购物平台账户和金融账户（比如京东钱包）是相连的，然后把网购实名认证和金融实名认证结合起来，不需要二次实名。 ——实名认证，这实在是无语了。

网购平台和金融平台的安全风险级别不同。

金融平台是用户的钱包，可能涉及大量资金，也可能因欠条、贷款而影响用户的信用。

因此，从风险控制的角度来看，即使使用同一账户，金融平台也应该进行二次身份验证。

例如，阿里巴巴（蚂蚁金服）的网商银行虽然也可以通过支付宝账户登录，但需要通过人脸识别进行二次验证。

腾讯旗下的微众银行可以通过微信ID登录，但还需要上传身份证照片进行二次验证。

仅在京东，只要您在购物平台进行实名验证，您的金融账户（钱包和小金库）就会自动通过实名验证，其他人甚至可以使用您的身份来激活金融账户功能。

这种怪异的产品设计思路，让人好奇京东把用户的账户安全、资金安全、信用安全放在哪里。

04

因为这件事，我去查了京东相关的安全风险，然后发现去年豆瓣网友@杜调韩江雪的帖子，标题是《现在我一无所有》。

2018年7月30日凌晨5点，@独钓寒江雪醒来，发现手机收到了100多条验证码，包括支付宝、京东、银行等。

她当时就被吓醒了。 随后她查看账户，发现支付宝、余额宝、银行卡账户里的钱都被转走了。 京东账户还开通了金条、白条功能，借了一笔钱。 一万多元。

几天后，深圳市公安局龙岗分局龙新派出所破获一起“短信嗅探犯罪”。 地点与网友@独钓寒江雪的住处非常吻合。

关于“短信嗅探犯罪”，我们这里不再赘述技术细节。 简单来说，不法分子可以利用伪基站和“短信嗅探设备”获取各类网站、APP上的用户用户名、身份证号、银行信息。 然后卡号等信息被盗，用户的金融账户被盗，甚至激活贷款功能，将贷款转走。

（警方查获的工具）

深圳市反电信网络诈骗中心公布的信息显示，支付宝、京东、银行均存在不同程度的漏洞。

以支付宝为例，不法分子盗取受害人支付宝账户的整个过程如下：