原来，京东商城真的曾经有过大漏洞

原来，京东商城真的曾经有过大漏洞

不知道大家对这件事还有没有印象：2015年4月份，因为在半年内有上百人在京东商城网购后遭诈骗，所以这些受害者组团起诉京东泄露信息。

当时，很多人猜测京东商城系统出现了漏洞。但是，当时京东方面言之凿凿的表示，“京东一贯高度重视用户信息安全和资料保护，不会发生泄露用户信息的情况。” 最终，这件事没了声音。究竟京东商城有没有泄漏用户的信息，它有没有漏洞，也无人提起。

但在最近，一桩黑客案件的审判，让我们发现，原来，京东商城真的曾经有过大漏洞。

11月20日，黑客林某因涉嫌盗窃罪，在朝阳法院温榆河法庭受审。根据媒体报道，林某利用网络平台漏洞，从京东商城偷窃电子货币“京豆”和“京券”，涉案金额高达193万余元。据检方指控，2013年12月至2014年12月间，林某利用北京京东世纪贸易有限公司的网络平台漏洞，采用设置虚假抽奖的形式，多次从京东商城网络平台上分别窃走144.24万元的“京豆”和49.66万元的“京券”，分别存放在他在京东商城的5个账户内。林某用盗窃的部分“京豆”和“京券”购物，实际消费88.63万元。

对此指控，黑客林某并不认同，提出反驳。

林某供述，开始时，他发现漏洞弄“京豆”时，只是为了提醒京东，但该公司可能认为金额不大，所以一直没联系他，他在京东商城的5个账号上留的都是他的真实名字和联系方式。林某说，“我通过漏洞看到京东的密匙，抱着试一试的态度输进去，结果真能打开。‘京豆’和‘京券’是我挪过去的，我把‘京豆’和‘京券’放入我自己的5个账户中，京东是可以看到的。我用自己捡来的‘京豆’和‘京券’帮同事或朋友买东西，收取他们比京东上标的稍微低一点的价格。”“我想告诉京东平台有漏洞，但是不知道找谁，只能等他们联系我。我从来没用过任何木马病毒，如果京东找我，我会立马退还给他们。如果京东不追究，我就当是京东送我的，我不认为自己犯了盗窃罪。”

不管这名林姓黑客如何为自己辩解，他的犯罪行为已经无法掩盖，未来等着他的会是法律的宣判。

但回过头来，再联系到文章开头提到的上百人在京东商城网购后遭诈骗的事情，林某偷窃的时间段是在2013年12月至2014年12月间，而购物者被骗的时间也恰恰是在2015年前后。也就是说，或许会有一种可能，那就是网购被骗者真的是京东漏洞的牺牲品。

在2015年4月份，我就京东购物者被骗事件与三位国内外安全厂商从业人员交流时，曾经提出过若干假设。现在，我再回忆一下，与今天的黑客盗取京东“京豆”的事件联系，看看当初的假设有哪些是可能的。

一位不愿意透露姓名的某安全软件厂商的安全专家认为，“目前看应该不是京东平台数据泄露，如果是平台数据泄露，规模会大的多了。”至于泄漏信息的原因，他认为有可能是两种途径，“一种可能是物流过程泄露，一种可能是钓鱼网站骗取信息。”“购物者可能没意识到登陆的是钓鱼网站，相当于他的所有操作都被骗子掌握。”

另一位国内安全厂商的安全专家认为可能有这样几种原因：“第一，是技术范畴内的泄漏。1、类似于京东商城的电商网站可能存在漏洞，而漏洞被黑客利用后，黑客盗取了数据。2、与电商合作的某个商铺出现了问题，合作商铺的后台存在漏洞，数据被黑客盗取。二，是人为因素造成的泄露。1、有可能是电商的内部人向外部泄露了用户信息。2、有可能是电商合作商铺的人泄露了信息。三，是纯外部原因造成的信息泄漏。目前，我们谈大数据、利用大数据，但黑客也在利用大数据。1、给电商提供服务的服务方泄露了信息。2、目前黑市个人信息买卖肆虐，黑客从黑市购买了个人用户信息。3、通过钓鱼网站，黑客盗取了个人信息。4、也可能是综合性手段，综合利用了前几个手段。比如专卖针对京东、淘宝等购买信息，然后利用病毒或者撞库等手段盗取购物网站的信息。”

德国安全软件厂商歌德塔(G Data)的中国区安全专家认为：“第一，漏洞的原因。1、有可能是网站的安全漏洞，漏洞出现后，京东在某个环节上没有及时跟进补漏，结果漏洞被外部的黑客利用。而这些信息，有的被窃取利用了；有的，则对窃取他们的黑客没有意义，可能通过地下途径被交易出去，流向了黑市或者其他的黑客。2、有可能是软件漏洞或者插件漏洞。购物商城经常需要一些软件、插件，他们不可避免的会出现漏洞。但有时候，软件厂商可能已经发布了漏洞补丁，但网站或者用户没有及时打补丁，这就给黑客、别有用心的骗子提供了可乘之机。第二，用户使用习惯、安全意识的原因。1、用户信息泄漏，不一定是在京东商城泄漏的。用户有可能是在别处使用过同一密码等信息，或者在别的社交网络泄漏过这些信息。2、或者是，他们的用户密码等信息的安全系数比较低，很容易破解，比如生日、12345之类的。3、部分中老年人的安全意识比较差，需要提高。受骗的，估计以中老年人居多，很多中老年人上网购物就是为了图新鲜，没有安全这个概念。第三，硬件的原因。目前，手机是移动互联网用户的主要上网工具。在手机中，安卓手机占绝大部分。但是，安卓手机的安全隐患不容忽视，经常出现安全漏洞，需要防护。山寨机等劣质手机预装的恶意软件、吸费软件，甚至预留的漏洞，都给骗子提供了很多的机会。”

现在，结合黑客盗取“京豆”事件，回过头来再看我们当初的假设，物流的因素、钓鱼网站的因素、电商内部因素、用户使用习惯因素、手机硬件因素、支付软件因素，因为有了黑客盗取“京豆”案件，都一一被事实否决了。之前那么多用户被骗，最大的可能就是，京东的漏洞被别有用心者利用。

当然，当初京东的漏洞肯定被修复了。只是，当初被骗的人怎么办呢？我不清楚当初被骗的人最终是个什么样的解决方式，如果没有解决的话，或者解决不合理的话，那么因为黑客盗取“京豆”案件，是否该重新审视这件事呢？如果真的不是用户自己的原因，而是网站的原因，那被骗者的损失谁来赔偿？该怎么赔偿？

原来，京东商城真的曾经有过大漏洞。谁能保证，以后它不会再出现漏洞？谁能保证，别的电商平台不会出现漏洞？我们的电商平台应该好好反思一下这事情。苍蝇不叮没缝的鸡蛋啊，有时不要只怪苍蝇。

个人微信：jiangbojing-2014 微信公众号：jiangbojing2013，或搜索“姜伯静”，或扫描以下二维码