京东白条被盗刷后,反思我的个人信息是如何泄露,广大白条吃瓜群众如何应对?
2016.9.19发生的白条盗刷事件,见京东白条被盗刷,简直匪夷所思······? 这几天一直和京东金融沟通这件事情,得到的答复依然是等待再等待,颇有政府机关左右踢皮球的风范,然后在最初的惊恐之余仔细想了下被盗刷的前因后果,经过推理如下,希望没有上当受骗的知友引以为鉴。
首先,我们来想想第一个问题那就是骗子如何盗取了京东的登录账号(或者绑定手机号)和密码,咱们先看看京东提供的几种侮辱智商的方式 电脑中病毒··· 告诉别人····
个人认为最有可能的是黑市个人信息买卖,京东为什么不说 ? 因为涉及到他们内部人员出卖的风险,好了第一步账号被盗取分析就到这里,因为这不是最重要的。
其次,不管通过什么方式骗子盗取了登录账号和密码,但是在白条支付的时候骗子会遇到两个问题,支付密码和验证码 ,接下来我们分析下骗子如何得到这两个关键的消息,支付密码和登录密码是不一样的,咱们先假设骗子一起得到了登录账号和登录密码以及支付密码,但是验证码骗子是不可能一步到位的,这个一个非常重要的问题。
那么到现在为止,我们发现手机验证码是一个非常关键的问题,那么骗子是如何得到这个验证码的呢? 而且手机一般都在受害人手里这样一个前提下,一个可能骗子通过“”补卡截码“” 但是这种可能性非常小 ,因为大多数受害人的手机都能正常接打电话,另外一个可能是骗子更改了京东绑定的手机号,你没看错 骗子就是通过这样一种方法轻而易举的更改了绑定的手机号,验证码当然是发送到骗子手机上了。
最关键的问题来了,京东提供的更改绑定手机的方式有好几种,美名其曰是为了方便用户,其实隐藏了很多风险,其中快捷支付的银行卡和支付密码是其中的一种,大多数的京东白条让盗刷也是因为这个,按京东的说法实名的银行卡代表了用户身份,支付密码和登录账号一起被盗情况下,只要在京东绑定了银行卡快捷支付,那么被盗刷的风险非常大。能同时得到银行卡号 、受害人真实姓名、京东登录账号密码以及支付密码的只有京东信息泄露才有可能(有人也许会说可能是银行方面把信息泄露出去,但是京东的账号密码银行是不可能知道的)
为什么这么说呢? 因为京东记录了绑定的快捷银行卡的所有个人信息,账号、 身份证,而更改绑定手机号只需要这两个信息就可以了(支付密码骗子早就知道了),然后骗子变更手机号 , 得到验证码 就得到了盗刷需要的一切!!!!!!
你不敢想象就是这样的一家互联网领先的公司,居然在安全验证方面如此脆弱,用户唯一的保障,验证码就在这样近乎裸奔的打着方便用户的幌子下通过更改绑定的手机号面前沦陷!!!!
写到这儿忍不住想骂人,涉及到更改手机号这么重要的安全事件,居然不不发邮件确认下? 绑定的邮箱只能用来发广告吗?为了用户体验?更是扯淡,谁没事天天换手机号,百年不遇变更多加一层保护就影响用户体验了?好了,啰啰嗦嗦说看来一大堆 ,以我的亲身教训给知友们几个建议:不绑定快捷支付 ,绑定的不用白条,卡里最好少放点钱,网购时候再从支付宝转钱过来。大家有更好的建议请跟帖。
首先,我们来想想第一个问题那就是骗子如何盗取了京东的登录账号(或者绑定手机号)和密码,咱们先看看京东提供的几种侮辱智商的方式 电脑中病毒··· 告诉别人····
个人认为最有可能的是黑市个人信息买卖,京东为什么不说 ? 因为涉及到他们内部人员出卖的风险,好了第一步账号被盗取分析就到这里,因为这不是最重要的。
其次,不管通过什么方式骗子盗取了登录账号和密码,但是在白条支付的时候骗子会遇到两个问题,支付密码和验证码 ,接下来我们分析下骗子如何得到这两个关键的消息,支付密码和登录密码是不一样的,咱们先假设骗子一起得到了登录账号和登录密码以及支付密码,但是验证码骗子是不可能一步到位的,这个一个非常重要的问题。
那么到现在为止,我们发现手机验证码是一个非常关键的问题,那么骗子是如何得到这个验证码的呢? 而且手机一般都在受害人手里这样一个前提下,一个可能骗子通过“”补卡截码“” 但是这种可能性非常小 ,因为大多数受害人的手机都能正常接打电话,另外一个可能是骗子更改了京东绑定的手机号,你没看错 骗子就是通过这样一种方法轻而易举的更改了绑定的手机号,验证码当然是发送到骗子手机上了。
最关键的问题来了,京东提供的更改绑定手机的方式有好几种,美名其曰是为了方便用户,其实隐藏了很多风险,其中快捷支付的银行卡和支付密码是其中的一种,大多数的京东白条让盗刷也是因为这个,按京东的说法实名的银行卡代表了用户身份,支付密码和登录账号一起被盗情况下,只要在京东绑定了银行卡快捷支付,那么被盗刷的风险非常大。能同时得到银行卡号 、受害人真实姓名、京东登录账号密码以及支付密码的只有京东信息泄露才有可能(有人也许会说可能是银行方面把信息泄露出去,但是京东的账号密码银行是不可能知道的)
为什么这么说呢? 因为京东记录了绑定的快捷银行卡的所有个人信息,账号、 身份证,而更改绑定手机号只需要这两个信息就可以了(支付密码骗子早就知道了),然后骗子变更手机号 , 得到验证码 就得到了盗刷需要的一切!!!!!!
你不敢想象就是这样的一家互联网领先的公司,居然在安全验证方面如此脆弱,用户唯一的保障,验证码就在这样近乎裸奔的打着方便用户的幌子下通过更改绑定的手机号面前沦陷!!!!
写到这儿忍不住想骂人,涉及到更改手机号这么重要的安全事件,居然不不发邮件确认下? 绑定的邮箱只能用来发广告吗?为了用户体验?更是扯淡,谁没事天天换手机号,百年不遇变更多加一层保护就影响用户体验了?好了,啰啰嗦嗦说看来一大堆 ,以我的亲身教训给知友们几个建议:不绑定快捷支付 ,绑定的不用白条,卡里最好少放点钱,网购时候再从支付宝转钱过来。大家有更好的建议请跟帖。
4 个回复
匿名用户 白米Ⅲ级
赞同来自:
只谈一谈京东金融对用户安全的保护,首先先看看假设中的同时拿到账号,登录密码,手机号,支付密码,银行卡号这些数据,需要什么权限。第一层权限,用户登录账号和电话只有产品部门和客服能单个查询,无法批量查询和导出,业务部门拿到的全是加密数据。登录密码和支付密码没有系统支持查询和导出,全部内植生产库中,能接触到的人在个位数。银行卡,电话等身份信息导出需要两个vp审批。更不用说背后的风控,内控等一系列安全措施。身为这种体量级的公司,没有对应的保障早就倒闭无数次了,建议题主配合调查,希望能找到你账号被盗的原因,挽回损失,但是京东金融内部倒卖用户信息这个锅,不好意思我不背。
利益相关,京东金融 白条 数据农
匿名用户 白米Ⅲ级
赞同来自:
匿名用户 白米Ⅲ级
赞同来自:
其次,作为一个用户,我想说的是不管京东采取怎样的安全防护,最终的目的是确认是用户本人在操作,围绕这样的一个事实前提下所做的一切才有意义,否则就是然并卵。
在这里并不是想争论锅谁背的问题,咱们摆事实讲道理京东员工利用职务之便将9313条客户信息卖给诈骗犯退一万步讲即使账号密码被盗或者黑客入侵倒卖,只要用户手握验证码 、邮件确认,本人身份证照片等等条件,也让骗子无从下手。没有绝对的信息安全,但是我希望京东能多给用户一层保障,让用户参与到安全防护过程中来,再次重申动态验证码是用户唯一的保障,涉及到变更手机号这种重大安全事件验证用户身份要多几道防线谨慎确认。咱鸡蛋能不能别放一个篮子里,让骗子一锅端对用户和京东都不好,别和我谈登录密码安全,那是侮辱广大用户的智商,如果登录密码可靠,那么发明信用卡识别码、验证码、U盾的人就是闲的蛋疼。
顺便说下今天去光大银行办理银行卡重置密码,银行人员反复确认身份证头像、绑定手机、签字折腾了半个小时,但是我一点也没感觉到不耐烦,反而感觉特别踏实,因为这是为用户负责。
余海 白米Ⅲ级
赞同来自: