京東金融致歉 “因為我們這個低級失誤,給用戶和行業帶來廣泛擔憂,傷害到京東金融長期以來積累的用戶信賴,我們比誰都覺得不值得,非常懊惱、非常痛心、非常自責。用戶信賴是京東金融發展的底線,京東金融也恪守正道成功的商業經營理念,我們絕不會做任何侵害用戶權益的事。”
日前,有用戶在微博發布視頻,爆料京東金融App自動保存用戶圖片在安卓手機的文件夾內,並質疑京東金融App侵犯用戶隱私。
昨天下午,京東金融發布技術排查結果,承認存在技術失誤,向客戶致歉,但表示相關緩存圖片僅存在用戶手機本地,京東金融App絕沒有對用戶照片和截屏進行私自上傳,也未發現任何一張未經授權的圖片被收集。
據悉,京東金融下周將邀請包括本次問題發現者在內的用戶和外部專家、媒體組成信息安全顧問小組,對京東金融App提供的產品和服務進行獨立、長期的檢查監督,並將定期公布顧問小組的檢查結果。
發現
京東金融App自動保存圖片
用戶擔心隱私被竊取
微博網友“@瘦出的肋骨已經消失的大俠阿木”(以下簡稱“阿木”)2月16日凌晨2時13分、2時35分各上傳一條視頻,質疑京東金融App獲取用戶敏感圖片信息。
在第一條視頻,阿木用自己的安卓手機先將京東金融App打開,然后進入后台運行,之后再打開招行App,隨意進入一個廣告界面后截圖,再進入文件管理器,打開目錄,找到京東金融的文件夾,發現剛才那張截圖就在這個文件夾裡。
第二條視頻,阿木還是跟之前一樣,打開並后台運行京東金融App,之后用美顏相機隨便拍了一張照片,結果在京東金融的文件夾裡竟也看到了這張新拍的照片。
據了解,阿木是一名業余安卓開發者,最近在研究安卓手機軟件的目錄。2月15日是他發工資日,當天下午他通過QQ向朋友發送了招商銀行App的截圖。2月16日凌晨1時40分,阿木在研究手機應用的文件目錄時意外發現京東金融App緩存文件中竟然有這張截圖。於是阿木錄了第一條視頻上傳微博。經朋友提醒,阿木發現使用美顏相機拍的照片也會在京東金融文件夾裡留下緩存圖片,就上傳了第二條視頻。
阿木的微博發出后,引起很多網友的關注,大家最擔心的是,京東金融App會把這些用戶手機裡的照片上傳雲端收集分析,竊取客戶隱私。
2月16日凌晨3時23分,也就是阿木的微博發出一個小時左右,京東金融的工作人員就與他聯系,希望阿木提供京東金融賬號便於查詢處理,但是被阿木拒絕。當天上午,很多網友如法炮制時,已經無法復現成功,在京東金融的文件夾裡已經看不見自己的圖片。
回應
“截圖反饋”方便溝通
“圖片助手”暫時下線
2月16日16時51分,京東金融客服官方微博發布“關於@瘦出的肋骨已經消失的大俠阿木反饋問題的聲明”。聲明首先回答了大家最關心的問題:為什麼會有圖片緩存?是否為竊取用戶隱私?
京東金融稱,如果用戶打開京東金融App后進行了截圖,會認為用戶有可能想向客服投訴或建議。為了方便用戶和客服溝通,就在用戶界面的左上角展示圖片提示,用戶可進一步選擇是否聯系客服並發送圖片。而阿木視頻裡的圖片正是該提示圖片在手機本地的緩存。該緩存圖片僅用於用戶手機上的提示,隻要用戶不選擇發送給客服,這些圖片都會乖乖地待在用戶的手機裡,京東金融后台系統是絕對看不到的。
京東金融同時鄭重承諾,絕不會收集未經用戶授權的任何信息。緩存圖片隻存儲在用戶本地手機設備內,僅供用戶本地操作提示,不會上傳到京東金融后台系統。圖片隻在用戶選擇發送客服后才會上傳服務器,京東金融后台系統才會看到圖片。
京東金融當時向阿木的監督表示感謝,也對廣大用戶致以歉意,並表示暫時下線“圖片助手”小功能,待進一步改進用戶安全體驗后再上線。
爭論
本地緩存沒侵犯隱私
拷貝用戶數據不能接受
不過,對於京東金融的這一回應,阿木有不同意見。2月16日17時11分,也就是京東金融第一份聲明發出20分鐘后,阿木發布微博,認為京東金融有關“截圖反饋”的解釋並無說服力,解釋不了他第二條視頻反映的留存美顏相機照片的問題。
阿木寫道:“因為我的第二條視頻還証明了京東金融還會‘竊取’美顏相機的照片。這個和‘截圖反饋’功能毫無關系。又怎麼解釋呢?另外,技術角度上講,‘截圖反饋’功能,隻需要緩存這張圖片原始的路徑即可,而不需要復制一份原始圖片,因為既浪費時間,又浪費性能,還浪費內存空間。所以仍然有理由進行進一步的揣測,京東金融確實是為了其他目的才這麼做的。”
有安全技術專家也認為,拷貝用戶數據到自己的目錄下,無論出於什麼樣的理由都是不可接受的。
不過,北京青年報記者注意到,也有網友在阿木的微博下留言稱,阿木給出的爆料隻能証明京東金融這款App在用戶手機后台裡不太規矩,會收集手機本地文件裡的圖片,但是並沒有將這些照片上傳到京東服務器上的直接証據。畢竟本地圖片緩存不管怎麼操作都還是在客戶自己的手機裡,隻有私自上傳才會侵犯客戶隱私。
還有網友認為,截圖反饋是App的“標准操作”,其他很多App都有類似功能。京東金融App可能是出了什麼 BUG。因為如果真要用戶的截圖,根本不用這麼麻煩復制到自己的目錄,即使要復制也不可能這麼不加掩飾,不會讓用戶這麼輕而易舉地就直接打開看見。最大可能這個截圖攔截是給“反饋”功能使用的,但不知道是由於技術問題還是其他原因變成了攔截所有圖片。
聲明
功能開發存在技術問題
明確“圖片不會私自上傳”
經過24小時的全面排查,昨天14時56分,京東金融官微發布最新聲明並向客戶致歉。京東金融承認開發技術存在問題,但是沒有對用戶照片和截屏進行私自上傳,經排查也未發現任何一張未經授權的圖片被收集。
京東金融在聲明中稱,安全技術團隊對所有版本的京東金融App進行排查后,發現安卓系統上的App5.0.5以后的版本存在該問題,並已定位問題且下線修復。
根據京東金融的解釋,2018年12月,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是,用戶對京東金融App進行截屏時,本人可將京東金融App截屏發送給在線客服人員,以提高與在線客服的溝通效率。此功能可以實現截屏的本地緩存以及預覽縮略圖快速展示,但技術上不具備圖片自動上傳的能力,圖片僅緩存在用戶手機本地。
聲明承認京東金融App在該項功能開發上存在技術問題,具體為用戶將京東金融App切換到后台后,該功能繼續運行,繼續接收新增圖片通知(包括截屏和照片等)並在手機本地緩存,而原功能設計需求是切換后自動停止該功能,屬於需求錯誤開發。同時,經過安全技術團隊深度評估,該功能也不應該使用手機緩存技術來實現,應該直接使用手機實時內存(RAM)實現並增強提醒,無需使用手機本地緩存,當京東金融App切換或退出時,將自動清空。
對於技術上的這種低級失誤,京東金融也表示十分痛心。“因為我們這個低級失誤,給用戶和行業帶來廣泛擔憂,傷害到京東金融長期以來積累的用戶信賴,我們比誰都覺得不值得,非常懊惱、非常痛心、非常自責。用戶信賴是京東金融發展的底線,京東金融也恪守正道成功的商業經營理念,我們絕不會做任何侵害用戶權益的事。”京東金融在致歉聲明中表示,“這次的失誤,是我們在產品開發過程中的技術問題,我們從未想過未經用戶授權獲取用戶圖片。這次的跟頭摔得很重,但是請大家相信我們,京東金融之前沒有、未來也不會私自上傳用戶圖片,並願意接受權威官方機構的檢測。”
為徹底打消公眾的疑慮,京東金融表示,周一將邀請權威官方機構對京東金融App進行全面的安全性檢測,並承諾未來每季度進行權威官方檢測,及時公告檢測結果。同時下周將邀請包括本次問題發現者“@瘦出的肋骨已經消失的大俠阿木”在內的用戶和外部專家、媒體組成信息安全顧問小組,對京東金融App提供的產品和服務進行獨立、長期的檢查監督,並將定期公布顧問小組的檢查結果。
文/本報記者 程婕
