导读:黑猫投诉平台上,关于京东金融涉嫌盗刷的投诉量居高不下。财熵联系了两位投诉者,一位身处海外,账户15万元被无故划走;一位在8分钟之内被京东白条盗刷75笔支付订单。根据两人的口述,结合社交平台上有类似遭遇的投诉者,财熵大致还原了京东盗刷的三种方式。盗刷究竟是信息泄露导致,还是另有隐情?被划走的资金究竟被转去哪里了?

京东金融被盗刷(财熵京东金融深陷)(1)

截至7月7日,黑猫投诉上近30日对京东金融APP的投诉达到2023条,平均一天被投诉67次

2022年6月18日,京东(09618.HK,NASDAQ:JD)公布“618”购物节战报。官方数据显示,6月17日晚8点开始,京东白条交易额10秒破亿,比上一年快了14秒。

但不少疑被京东白条盗刷的用户,注定无法和这场狂欢共情。“现在我已经把京东金融APP删了。维权了一年多,真是心太累了,没人相信京东会这么干。”徐英(化名)对财熵说。

2021年7月,徐英收到多个属地为香港和新加坡、自称“京东金融”的电话:“系统显示您有借贷需求”。对方能准确地说出她在京东APP的注册时间。

注册时间等数据属于用户隐私,徐英在软件开发行业从事了10年,直觉告诉她此事并不简单。当她进一步调查和京东绑定的银行卡账户流水及个人征信记录时,被眼前的一幕震住:“账户莫名出现了多笔小额贷款,贷款主体为盛际小贷公司和一些商业银行。每次贷款资金到账的1分钟内,账户出现奇怪的资金划出记录,划走的是京东肯特瑞基金销售有限公司(下称‘肯特瑞’)。”

徐英告诉财熵,通过“被放贷后划款”的方式,她累计被盗刷15万元人民币(如无特殊注明,货币单位下同)。这是她当时在海外学习期间做兼职一年所赚的钱,但至今这笔资金还没追回来。

过去12个月里,徐英忙于和京东金融交涉,“和京东客服打了不下1000个电话,但对方认定是我主动授权贷款和基金代扣业务的,表示用户需要自行承担损失。问题是,我平时基本不用京东APP,而且(被盗刷)那时我还在国外,怎么可能用得上京东?”

事发以来,她一边向监管部门举报(但未获处理);一边在社交平台上,积极为类似被京东盗刷以及寻求帮助的人提供意见,“毕竟这一年我踩的坑足够多了”。

京东客服的回应,将盗刷归咎到用户个人信息泄露上。徐英认为,这场“无妄之灾”的源头,可能要追溯到2020年6月一个再平常不过的操作——当时她为了购买网课,在京东APP开通了白条,导致在京东后台留下了数据痕迹。

财熵发现,截至7月6日,黑猫投诉上有关“京东盗刷”的投诉出现了911条,矛头指向京东白条和京东支付。微博也出现多个带有“白条盗刷”字眼的用户ID。

京东金融被盗刷(财熵京东金融深陷)(2)

财熵整理

为什么涉及京东用户隐私的信息会被泄露?划走资金的京东肯特瑞是什么来头?在京东平台上发生类似的盗刷行为,京东该承担什么责任?

一条离奇的签约短信

在黑猫投诉上,涉及京东金融无故扣款的案例,主要分成三种:1. 无故被开通肯特瑞小金库并被扣款;2. 京东白条或金条无端欠款,逾期之时被扣款;3. 京东支付无故被第三方平台委托代扣。

徐英提供的银行流水记录显示,其账户的资金频繁通过“网银在线—肯特瑞小金库网银平台”划出,用途为“基金申购”。“未经授权,京东怎么可以帮用户申购投资产品呢?”她感到很疑惑。

京东金融被盗刷(财熵京东金融深陷)(3)

银行流水离奇出现多笔贷款和基金申购记录 徐英供图

从公开资料可知,网银在线为京东在2012年收购的支付平台。换言之,这笔资金转出的交易是通过京东支付发生的,并划入了肯特瑞小金库。

“肯特瑞小金库就是肯特瑞基金,”徐英说。

在京东APP“我的钱包”界面上,对“小金库”的推广板块十分突出。公开资料显示,京东对小金库的定位是京东金融里的“国民钱包”,对标的是支付宝的“余额宝”和微信的“零钱通”,负责代销货币基金。

财熵尝试开通京东小金库,弹出来的是一份关于基金代销的合约。合约显示,小金库背后的公司正是肯特瑞。当点击存入“小金库”,页面直接就调到货基申购,可供选择的产品包括嘉实活钱包、南方天天利、民生加银现金宝C等公募货币基金。

京东金融客服也对财熵说:“小金库就是一个货币基金产品。”换言之,开通了小金库即默认允许基金申购。

京东金融被盗刷(财熵京东金融深陷)(4)

京东金融客服表示小金库为货基产品,财熵截图

既然明确了小金库是基金产品的属性,根据《公开募集证券投资基金销售机构监督管理办法》第二十二条规定:“基金销售机构应当及时告知投资人其认购、申购、赎回的基金名称以及基金份额的确认日期、确认份额和金额等信息,做好有关信息传递工作。”

徐英表示,出事前她完全不知道小金库是什么,还是后来翻看手机短信,找到一条肯特瑞基金的签约提醒,才得知自己无意中开通了这个业务。

京东金融被盗刷(财熵京东金融深陷)(5)

2021年7月徐英才收到关于京东肯特瑞的授权短信 徐英供图

一条验证短信就能签约?此前,上海市信息安全行业协会会长谈剑峰在一次公开讲话中,就警告过用短信验证码开通第三方支付的风险:“短信作为一种通信方式的固有属性,决定了其安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。”

徐英表示,她在收到短信后没有输入任何验证码,却被开通了小金库业务。更诡异的是收到短信的时间——已经是2021年7月,这时距离其个人账户被小金库首次划款,已经过去足足一年。

肯特瑞此类“先上车后补票”的行为,是否恰恰证明了其此前私自扣款、申购基金的行为是未获授权的?

对于未获客户授权私自为其申购基金的行为,广东广强律师事务所合伙人曾杰律师对财熵表示,“一般两种定性:如果所购买的基金归属权是代销平台,这属于明显的侵占客户资金,是否定罪要看平台是否采用欺骗的手段。如果是,那就属于非法占用目的,可能涉嫌诈骗罪。”

另一种情况是,“如果说买来的基金产品归属于客户,平台就是帮客户私下做决定。这种行为一般属于民事纠纷。互联网基金代销平台虽然称不上金融公司,也属于准金融公司,肯定也会接受行业的监管,(客户)可以去金融监管局,或者是管理基金公司的证监会去进行举报投诉,要求处罚。”曾杰说。

徐英向财熵展示了她在2022年1月29日、2月8日和京东金融客服对质的电话录音。对话中,京东金融客服仍坚称用户已授权开通小金库代扣业务——“(授权)时间是2020年7月首次还京东白条时,签约即生效”。

当徐英追问“为什么2020年就签约完成的业务,2021年才推送签约短信”时,客服说辞很含糊,先是表示不清楚,随后却承认,这是“系统自动更换支付渠道归还所致,用户无法自主选择”,原因是还白条、金条时支付通道发生错误。

但从微博、知乎、黑猫投诉等平台上用户对肯特瑞的投诉来看,这或许不是偶发性错误——不少用户亮出了类似徐英提供的“签约短信”,他们表示没有操作输入验证,却在收到“正在签约”短信后的1分钟内,自动收到“开通成功”的提示。

京东金融被盗刷(财熵京东金融深陷)(6)

用户亮出开通小金库的签约短信 图源网络

当然,签约短信不是授权开通小金库的唯一方式。有京东用户表示,很多人在还白条时已“不知不觉”开通了小金库。

根据知乎用户“dbR24J”贴出的京东APP上还白条的界面,京东金融将授权开通小金库协议一行字设计得相当隐蔽。用户如果没注意看,点击了“开户并还款”这个优先选项,将自动成为小金库用户。

京东金融被盗刷(财熵京东金融深陷)(7)

开通小金库的选项“藏”在还白条界面上,图源知乎

一个简单的“授权”动作,意味着自己的银行账户将对来自京东金融的扣款指令开“绿灯”。财熵从肯特瑞基金的服务协议得知,开通小金库后,银行将根据用户发给京东金融的指令,通过京东的电子支付系统直接扣款——这带来便捷,但也带来风险。

代扣也有代价?

资深京东用户小杨向财熵展示了其小金库的交易明细:每个月的资金先进后出,金额一致。他解释道,一旦开通了优先小金库转入还白条的选项,即意味着默许肯特瑞小金库每月先从银行卡扣款,然后再偿还白条。

京东金融被盗刷(财熵京东金融深陷)(8)

财熵整理

类似的高频转账记录,也出现在徐英的账户里。不同于小杨账本里清晰的“白条还款”备注,小金库没有对徐英的资金转出作进一步说明,“虽然银行流水显示是基金申购,但我在京东也查不到任何购买记录。”她说。

也有用户在黑猫投诉上反映,自己的小金库离奇从银行账户中扣款,但金额并不是白条账单的数目,且划款时间也未到白条还款日。

京东金融被盗刷(财熵京东金融深陷)(9)

徐英的京东金条被盗后账户资金被扣经过,财熵制图

这令人疑惑:从用户账户中莫名代扣的款项,究竟流向哪里了呢?

据天眼查,小金库背后的公司肯特瑞,由京东科技100%全资控股。京东科技在2021年初将京东的AI和云业务整合之前为京东数科,而京东数科的前身则为京东金融。

工商资料显示,肯特瑞的经营范围为“基金销售”,并注明“不得以公开方式募集资金”。

值得注意的是,这些代扣业务的实现,主要依托于京东旗下唯一拥有第三方支付牌照的网银在线,其衍生的产品是京东支付。

根据中国人民银行《非银行支付机构网络支付业务管理办法》第十四条规定,“支付机构应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息”。在“完整性”和“可追溯性”这两点上,京东系的网银在线是否存在隐瞒呢?

黑猫投诉平台上,截至7月6日,网银在线累计被投诉次数超过500次,多数指向“无故扣费”的问题。公开资料显示,网银在线除了服务于京东系的银行支付流程,还和外部合作公司打通了“代扣通道”。

类似的第三方支付代扣,一直以来都是监管重点。一位银行业人士对财熵说:“很多第三方支付机构在代收业务操作方面很不规范,甚至存在诱导客户开通免密支付的情况。一旦客户开通免密支付,就意味着授权支付公司直接进行相关贷款等业务的支付交易。

问题是,若用户信息泄露,支付平台如何保证收到的扣款指令为用户本人发出?

投诉平台上,就有多个用户反映,自己的银行账户通过京东支付被盗刷——他们没有在京东或京东金融APP上进行任何消费,但网银在线却擅自从银行账户里扣款。

更有用户曝出,一些此前闻所未闻的小贷金融公司,比如北京好还科技、分期乐、钱站等,通过网银在线(京东支付)将其银行账户的钱卷走。京东金融客服对此的解释是:“用户此前签署了第三方代扣”。但用户至今没有找到所谓的代扣协议。

京东金融被盗刷(财熵京东金融深陷)(10)

图源黑猫投诉 财熵整理

究竟京东金融和上述小贷公司有无合作关系?京东支付进行代扣时,如何核实用户本人和第三方借贷关系的真实性?财熵就代扣乱象致电京东金融的相关部门,未获回复。

信息泄露之殇

事实上,京东旗下也有一家小贷公司——重庆京东盛际小额贷款有限公司(下称“重庆盛际”)。公开信息显示,在京东白条和金条产品的背后,重庆盛际承担着贷款人或者贷款服务机构的角色。金条和白条都是消费信贷产品,类似于支付宝的“借呗”和“花呗”。

徐英告诉财熵,她在查询银行流水时发现,账上凭空出现多笔贷款。贷款方除了一些商业银行,还有重庆盛际,她后来才知道这是金条的贷款。但她表示,自己在海外学习期间,并未使用过京东APP,更别说开通金条贷款了。

另外一位投诉者吕芳(化名)则向财熵反映,两年前她的京东白条及绑定的银行卡,在8分钟之内被盗刷75笔线下支付订单,至今没追索回来。她表示自己从未透露过支付密码,也没收到过京东任何一条交易验证码,且从没开通免密支付或人脸识别功能。

在用户不知情的情况下,白条和金条还能被盗刷?

“最可能是信息泄露,被不法分子盗刷贷款额度了。”吕芳说,“而这也说明京东金融内控管理的漏洞。”她曾联系京东金融客服,对方也将盗刷归咎为信息泄露后被不法分子利用。

在黑猫投诉上,不少有类似被盗刷遭遇的京东用户,都提到“信息泄露”的问题。

京东金融被盗刷(财熵京东金融深陷)(11)

图源黑猫投诉

令吕芳感到意外的是,京东金融客服似乎想撇清责任:“因用户泄露信息导致的损失,将由其本人承担,并请按时还款”。

京东金融被盗刷(财熵京东金融深陷)(12)

吕芳被盗刷后和京东金融客服的沟通记录 吕芳供图

吕芳说,一旦被盗刷的金条或者白条逾期,若用户此前已授权京东账户的代扣支付权限,京东金融可以在没有用户授权的情况下,自动扣取用户的银行存款,“如果拒绝还款,就等着上征信和接收京东催收团队的问候吧。”社交平台上,不乏京东用户投诉白条逾期后,平台暴力催收甚至进行恐吓的情况。

黑猫投诉平台最近对重庆盛际的投诉,全部指向征信记录的问题——近30日有46条,平均每天达1.5条。不少用户在查询征信记录时,突然发现有来自重庆盛际的贷款记录,但本人没有申请也没有使用过该贷款。用户要求撤销这些异常贷款的征信记录,也有人控诉:“逾期贷款的征信记录严重影响了正常生活、申请房贷和车贷”。

财熵就京东白条盗刷问题致电京东金融客服,对方以“客户盗刷信息未经证实”为由,拒绝解释。

京东金融被盗刷(财熵京东金融深陷)(13)

网络上关于京东金融暴力催收的投诉 图源黑猫投诉

曾杰律师表示,信息泄露导致的金融诈骗,用户取证困难,责任一般很难界定。

早在2017年,就有媒体报道过京东白条的消费贷盗刷问题。当时京东金融将盗刷归咎于“黑产”(网络黑色产业链)造成的行业性问题,指责欺诈团伙在外部非法获取用户账户密码。

遗憾的是,五年后,类似的剧情依然上演。平台似乎没有从自身找原因。

根据《非银行支付机构网络支付业务管理办法》第二十三条规定,“支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法 》、《金融电子认证规范 》(JR/T 0118-2015)等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。”

“放贷不需要验证人脸、语音等活体验证吗?他们说只要是我的名字、我的卡就能放贷。”徐英说。财熵也从她提供的电话录音获知,虽然京东金融在发放网络贷款前会进行实名认证,包括姓名、身份证号码、银行卡号、手机号码等,但却不包括验证人脸、指纹等重要生物信息。

也有网友将信息泄露的矛头,指向京东平台的用户数据共享机制:“京东用户可以同时登陆京东金融,两个平台信息相互同步。就是说如果你在这三个任何一个平台登录过实名制信息,那么其他两个平台也会同时登录实名制信息。”

京东金融被盗刷(财熵京东金融深陷)(14)

客服承认京东商城、京东金融和京喜APP的用户数据通用,图源网络

徐英向财熵提到一件小事:她在社交平台上投诉京东金融,下面评论的却是“重庆盛际客户服务”,内容和京东金融客服给她的回复一字不差。她怀疑京东金融客服主体其实是重庆盛际,“如果是的话,开通了白条的用户,数据都会被重庆盛际这个小贷公司获取。”

天眼查显示,白条和金条的供款方——重庆盛际是一家纯正的京东系公司,88%的股权由京东科技控制,另外12%股权由京东的一家注册在香港的公司控制。

京东金融被盗刷(财熵京东金融深陷)(15)

重庆盛际客服在微博上回应徐英的投诉 徐英供图

被盗刷的京东白条贷款,以及用户可能“无意中”开通的代扣支付授权,上演了一场神不知鬼不觉的“合谋”,令那些被不法分子盯上的账户资金在暗地里上演“大挪移”。当中涉及三家公司——肯特瑞、网银在线和重庆盛际,以及酿成盗刷问题的三个关键破绽——第三方代扣业务的授权、用户的信息安全、贷款业务的审核机制,似乎都和京东金融脱不了干系。

9年前,陈生强辞去京东集团CFO、接手京东金融时,刘强东向他提出两个要求:第一,要做这个行业里最脏、最苦、最累、最难的活;第二,如果有100块钱可赚,赚70块就可以了,留下30块给上游供应商或者让利给客户。

9年后,“开朝元老”陈生强在高层人事震荡中离职;京东金融获得云和AI业务的加持后升级为“京东科技”,并打算赴港IPO,在资本市场大展宏图。

只是,京东金融是否还记得初心?

,