事件背景
在京東上購物下單付款成功僅幾個小時後,深圳的余先生就接到了騙子的電話,對方不僅能準確說出余先生的下單信息,甚至連余先生的個人信息都了如指掌。在電話里,余先生對對方深信不疑,並按照對方的指令,一步步進行操作。之後余先生收到銀行發來的簡訊,其卡內的4萬元被洗刷一空。南都記者經過多天的採訪了解到,余先生的經歷並非孤例,近半年來,陸陸續續有上百名用戶遭受到類似的詐欺情況。這100多名受騙者自發組建了維權QQ群,並將案件集中委託給北京凱諾律師事務所張新年律師全權代理,目前或將啟動起訴程式,將京東告上法庭 。
事件經過
“京東客服”能準確說出用戶個人信息
2015年3月18日,深圳龍崗區的余先生在京東商城某品牌旗艦店內購買了一件價值幾百元的衝鋒衣,並在下單付款成功後,退出了付款平台。第二天下午,余先生突然接到一名自稱是“京東客服”的電話,對方稱其在3月18日晚所購買的衝鋒衣,因京東平台系統升級,資金未到達其商鋪,“說需要我配合他們讓京東退款給我,再次下單購買 。”
讓余先生覺得奇怪的是,該“客服人員”用的電話是歸屬為浙江杭州的個人手機號,余先生便對其產生了懷疑。
隨後,在電話中,對方“客服人員”不僅能說出余先生的購買產品、下單時間等信息,還能準確說出余先生的幾乎所有個人信息,“包括姓名、住址、電話、身份證號等”。基於此,余先生對其深信不疑,便同意該“客服人員”的請求,並稱願意按照其提供的步驟進行退款及重新下單 。
隨後,余先生收到一條帶連結的訊息,余先生點開後發現,該連結與京東退款界面幾乎一樣,便更加相信該“客服”。按照網頁中的內容和提示,余先生填寫了銀行卡號及密碼,在該頁面最後一步填寫傳送到手機上的驗證碼時,余先生已有所疑心,稱需打客服電話諮詢一下。對方稱如果現在不處理,其銀行賬戶的餘額會被凍結。余先生依舊不肯相信,並掛斷了電話。幾分鐘後,余先生手機收到了銀行的簡訊,其賬戶內的4萬元已被划走。
余先生便立馬回電話給該“客服”,對方這次稱讓余先生按照其提供的操作方式,輸入密碼器中的動態密碼,“當時心很急,就輸了,也確實看到了銀行顯示的退款。”余先生說,但之後余先生銀行餘額馬上又被划走,對方稱24小時內返還。余先生髮覺不對,在諮詢京東客服後,才發現自己被騙 。
余先生的經歷並非孤例,南都記者調查發現,僅在深圳就有10多人中招,被騙經歷和余先生大同小異。一名王姓受騙者稱,“下單不到半天的時間,訂單信息就泄露出去了,很難讓人不懷疑是京東方面出現了問題 。”
京東曾主動聯繫被騙者但被質疑“多重標準”
面對如此龐大的受騙人群及受騙款,京東方面在賠償款上一直採取“持久戰”。維權群群主韓先生告訴記者,在今年1月份,京東客服曾主動打電話來稱願意賠償用戶損失 。
韓先生介紹,當時共有3名受害者得到墊付款,“但客服在電話中表示,並非是京東方面的問題,只是給用戶墊付一部分。”韓先生注意到,3名收到墊付款的受害者均是使用“網銀線上”交易的。南都記者在網上搜尋資料了解到,“網銀線上”是京東集團全資子公司,為京東電商業務提供全面的支付解決方案 。
根據3名受害者提供的錄音顯示,京東客服表示,如果用戶通過“網銀線上”進行交易的,有賠付途徑,京東方面會賠償用戶損失。而令人不解的是,同樣使用“網銀線上”交易的楊先生卻遲遲沒有收到賠款,他被盜刷了22.8萬元 。
“為何只賠付使用網銀線上的用戶?且為何款額大的沒有賠?”一時,維權群中流言四起,不少網友表示,京東存在“多重標準”。隨著律師的介入及媒體的跟進,直至“3·15”的第二天,京東客服又給韓先生打來電話稱,願意由京東墊付受騙者的賠償款,並發來登記信息,要求群內成員填寫。韓先生稱,當時看到京東發來的登記表後曾諮詢過客服,為何是“墊付”而不是“賠償”,該客服對此不予回答 。
在3月16日的登記中,群內共有50多名受害者登記,而在登記的50多人中只有一半的人收到了京東方面提供的承諾函以及墊付協定。截止到記者發稿時,收到協定的人群中,只有少部分收到了墊付款。“現在群里有三類人,一是登記了信息,收到了協定,也收到了墊付款的;二是登記了信息,收到了協定,但沒收到墊付款的;第三就是登記了信息,既沒收到協定,也沒收到墊付款 。”
在採訪多名收到墊付款的受害者時,南都記者注意到,這些受害者被騙的款額多處在2000-3000元,且這些受害者此前在維權群里大多很活躍。這引來了不少受害者的質疑,“難道只墊付小頭和鬧得凶的?”
針對眾多受騙者追回被騙款的訴求以及對京東方面存在的種種質疑,昨日下午,南都記者發函詢問該起事件的相關細節及被騙者的善後事宜。但截至記者發稿時,京東方面仍未回函。記者根據此前媒體報導,京東曾回應稱,目前京東已通知被騙用戶報案,且京東會積極配合公安部門對相關案件的調查。此外,京東方面表示,“京東一貫高度重視用戶信息安全和資料保護,不會發生泄露用戶信息的情況。”
律師說法
律師:京東需要承擔民事責任
南都記者進一步調查發現,近半年來,陸陸續續有100多人在京東購物被類似的伎倆所騙,涉及金額多達200多萬元。基於此,北京的一名受騙者韓先生在今年1月份創辦了一個名為“京東盜刷維權群 ”。
記者看到,群中共有150多名受騙者,他們的群暱稱統一修改為“地區+京東+被騙款”的格式。據群主韓先生介紹,今年年初,其同樣在京東購物遭受騙局,儘管金額相較其他人比較少,但其在百度貼吧及新浪微博等多個社交平台上注意到全國各地有許多網友遭受類似騙局,於是他便創辦了維權QQ群,想以此來抱團維權。記者注意到,群中網友所在地區遍布全國,不少網友被騙金額多達十萬元 。
韓先生告訴記者,在創群後不久,隨著人數及詐欺金額的增加,該群曾集體在“3·15”撥打維權電話,並將此事委託給北京市凱諾律師事務所張新年律師全權代理 。
張律師在接受南都記者採訪時表示,根據多名受害者提供的錄音及截圖等證據,京東需要承擔民事責任。“首先京東這么多用戶的個人信息泄露,顯然是平台存在漏洞,但沒有及時處理,也沒有技術方面的防範措施,沒有對系統進行升級。這就相當於去酒店,在地板上滑倒摔傷了,如果你有提示說這裡路滑小心,那酒店就免責了。”張律師認為,目前京東的漏洞可能存在於兩個方面:“一是內部人員泄密,然後轉手賣給不法商販,獲取不正當利益,這個可能性不大;第二是現在騙子的詐欺方式和技術在升級,而京東的平台卻沒有相應地為安全而升級 。”
其表示,目前工商及公安部門應早日介入調查,“如果發現是京東自身的問題,那么就追究它的民事責任;如果是京東掌握用戶信心的核心人員的問題,那就追究這些人的刑事責任 。”
根據漏洞報告平台烏雲WooYun.org顯示,京東存在146條安全漏洞記錄,是其他同類網站的4倍以上。
南都記者了解到,目前維權群里多個網友已經報警。群主韓先生介紹,大多成員的情況已被立案。據深圳的余先生介紹,目前龍崗區同樂派出所已經對此事立案調查。據該派出所警員介紹,由於此事牽扯麵廣、被騙人數多,破案存在一定的困難,故希望受害者能積極向警方提供相關信息及證據,以便早日破案 。
技術細節
京東資料庫疑似泄露
新浪科技訊 2月28日晚間訊息,部分網友今日通過新浪微博爆料稱,京東用戶資料庫資料遭泄露,建議賬戶有資金的儘快處理。
經新浪科技查證泄露的用戶資料截圖,使用其中的賬號和密碼可正常登錄,包括用戶姓名、收貨地址、賬戶餘額和訂單信息等信息一覽無餘。新浪微博用戶蔡某今天下午五點半發布微博稱:“京東帳戶上有錢的趕緊去處理一下,京東資料庫泄露!!”截至晚上7點,該條微博轉發量接近300。
新浪科技拿到的截圖顯示,23名用戶賬號和密碼遭暴露,賬號名均為QQ信箱。通過輸入用戶賬號和密碼,能夠順利登錄個人頁面,查詢到用戶的姓名、生日、收貨地址、賬戶餘額和歷史訂單記錄等。
但該截圖僅顯示出了23名用戶的個人資料,尚未明確這是否意味著京東資料庫大規模遭泄露,同時也不能排除偽造賬戶密碼資料的可能性。
網銀+ 快捷支付
除用戶數據泄漏之外,詐欺者僅憑一條簡訊驗證碼即可轉走用戶銀行卡中錢財.和京東推出的一款名叫"網銀+"的快捷支付不無關係.
"網銀+"綁定後完全隱形,不進行任何展示.支付時僅需"網銀線上(北京)科技有限公司"傳送的一條簡訊驗證碼,即可完成交易.並且無法解綁,京東不提供解綁服務. 用戶不在第一次綁定時有所察覺就會完全不知道他的存在.無疑是一顆定時炸彈.
而這家名叫"網銀線上(北京)科技有限公司"的公司,在百度搜尋以後發現,由於監管不嚴格,多次造成用戶錢財被詐欺和盜刷.
相關詐欺
近年來,網路購物以迅猛之勢發展,因網購發生的用戶信息泄露及詐欺案件也層出不窮 。
去年年底,作為鐵路系統的官方網上購票平台,12306曾被媒體報導稱多名用戶信息被泄露。去年年底,有網友在“烏雲-漏洞報告平台”發表一篇帖子稱,大量12306用戶數據在網際網路傳播售賣。根據該平台披露的信息,目前已知公開傳播的數據涉及用戶數為131653條,尚不清楚是否有更多用戶數據被泄露。12306網站對此回應稱,網上泄露的用戶信息系經其他網站或渠道流出 。
2012年9月,黑龍江依蘭縣公安局刑偵大隊經過調查成功破獲一起網路欺詐案件。據介紹,犯罪團伙先在網上蒐集“淘寶網”的買家電話,然後僱人給買家打電話,再謊稱支付寶更新不能發貨給退款、傳送假網站信息驗證碼,最後竊取買家銀行卡信息購消費卡,轉手倒賣套取現金。經警方初步查明,全國有600餘人被騙,涉案金額達50餘萬元 。