京東金融致歉 “因為我們這個低級失誤，給用戶和行業(yè)帶來廣泛擔(dān)憂，傷害到京東金融長期以來積累的用戶信賴，我們比誰都覺得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線，京東金融也恪守正道成功的商業(yè)經(jīng)營理念，我們絕不會做任何侵害用戶權(quán)益的事。”

日前，有用戶在微博發(fā)布視頻，爆料京東金融App自動保存用戶圖片在安卓手機(jī)的文件夾內(nèi)，并質(zhì)疑京東金融App侵犯用戶隱私。

昨天下午，京東金融發(fā)布技術(shù)排查結(jié)果，承認(rèn)存在技術(shù)失誤，向客戶致歉，但表示相關(guān)緩存圖片僅存在用戶手機(jī)本地，京東金融App絕沒有對用戶照片和截屏進(jìn)行私自上傳，也未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

據(jù)悉，京東金融下周將邀請包括本次問題發(fā)現(xiàn)者在內(nèi)的用戶和外部專家、媒體組成信息安全顧問小組，對京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨立、長期的檢查監(jiān)督，并將定期公布顧問小組的檢查結(jié)果。

發(fā)現(xiàn)

京東金融App自動保存圖片

用戶擔(dān)心隱私被竊取

微博網(wǎng)友“@瘦出的肋骨已經(jīng)消失的大俠阿木”(以下簡稱“阿木”)2月16日凌晨2時13分、2時35分各上傳一條視頻，質(zhì)疑京東金融App獲取用戶敏感圖片信息。

在第一條視頻，阿木用自己的安卓手機(jī)先將京東金融App打開，然后進(jìn)入后臺運行，之后再打開招行App，隨意進(jìn)入一個廣告界面后截圖，再進(jìn)入文件管理器，打開目錄，找到京東金融的文件夾，發(fā)現(xiàn)剛才那張截圖就在這個文件夾里。

第二條視頻，阿木還是跟之前一樣，打開并后臺運行京東金融App，之后用美顏相機(jī)隨便拍了一張照片，結(jié)果在京東金融的文件夾里竟也看到了這張新拍的照片。

據(jù)了解，阿木是一名業(yè)余安卓開發(fā)者，最近在研究安卓手機(jī)軟件的目錄。2月15日是他發(fā)工資日，當(dāng)天下午他通過QQ向朋友發(fā)送了招商銀行App的截圖。2月16日凌晨1時40分，阿木在研究手機(jī)應(yīng)用的文件目錄時意外發(fā)現(xiàn)京東金融App緩存文件中竟然有這張截圖。于是阿木錄了第一條視頻上傳微博。經(jīng)朋友提醒，阿木發(fā)現(xiàn)使用美顏相機(jī)拍的照片也會在京東金融文件夾里留下緩存圖片，就上傳了第二條視頻。

阿木的微博發(fā)出后，引起很多網(wǎng)友的關(guān)注，大家最擔(dān)心的是，京東金融App會把這些用戶手機(jī)里的照片上傳云端收集分析，竊取客戶隱私。

2月16日凌晨3時23分，也就是阿木的微博發(fā)出一個小時左右，京東金融的工作人員就與他聯(lián)系，希望阿木提供京東金融賬號便于查詢處理，但是被阿木拒絕。當(dāng)天上午，很多網(wǎng)友如法炮制時，已經(jīng)無法復(fù)現(xiàn)成功，在京東金融的文件夾里已經(jīng)看不見自己的圖片。

回應(yīng)

“截圖反饋”方便溝通

“圖片助手”暫時下線

2月16日16時51分，京東金融客服官方微博發(fā)布“關(guān)于@瘦出的肋骨已經(jīng)消失的大俠阿木反饋問題的聲明”。聲明首先回答了大家最關(guān)心的問題：為什么會有圖片緩存?是否為竊取用戶隱私?

京東金融稱，如果用戶打開京東金融App后進(jìn)行了截圖，會認(rèn)為用戶有可能想向客服投訴或建議。為了方便用戶和客服溝通，就在用戶界面的左上角展示圖片提示，用戶可進(jìn)一步選擇是否聯(lián)系客服并發(fā)送圖片。而阿木視頻里的圖片正是該提示圖片在手機(jī)本地的緩存。該緩存圖片僅用于用戶手機(jī)上的提示，只要用戶不選擇發(fā)送給客服，這些圖片都會乖乖地待在用戶的手機(jī)里，京東金融后臺系統(tǒng)是絕對看不到的。

京東金融同時鄭重承諾，絕不會收集未經(jīng)用戶授權(quán)的任何信息。緩存圖片只存儲在用戶本地手機(jī)設(shè)備內(nèi)，僅供用戶本地操作提示，不會上傳到京東金融后臺系統(tǒng)。圖片只在用戶選擇發(fā)送客服后才會上傳服務(wù)器，京東金融后臺系統(tǒng)才會看到圖片。

京東金融當(dāng)時向阿木的監(jiān)督表示感謝，也對廣大用戶致以歉意，并表示暫時下線“圖片助手”小功能，待進(jìn)一步改進(jìn)用戶安全體驗后再上線。

爭論

本地緩存沒侵犯隱私

拷貝用戶數(shù)據(jù)不能接受

不過，對于京東金融的這一回應(yīng)，阿木有不同意見。2月16日17時11分，也就是京東金融第一份聲明發(fā)出20分鐘后，阿木發(fā)布微博，認(rèn)為京東金融有關(guān)“截圖反饋”的解釋并無說服力，解釋不了他第二條視頻反映的留存美顏相機(jī)照片的問題。

阿木寫道：“因為我的第二條視頻還證明了京東金融還會‘竊取’美顏相機(jī)的照片。這個和‘截圖反饋’功能毫無關(guān)系。又怎么解釋呢?另外，技術(shù)角度上講，‘截圖反饋’功能，只需要緩存這張圖片原始的路徑即可，而不需要復(fù)制一份原始圖片，因為既浪費時間，又浪費性能，還浪費內(nèi)存空間。所以仍然有理由進(jìn)行進(jìn)一步的揣測，京東金融確實是為了其他目的才這么做的。”

有安全技術(shù)專家也認(rèn)為，拷貝用戶數(shù)據(jù)到自己的目錄下，無論出于什么樣的理由都是不可接受的。

不過，北京青年報記者注意到，也有網(wǎng)友在阿木的微博下留言稱，阿木給出的爆料只能證明京東金融這款A(yù)pp在用戶手機(jī)后臺里不太規(guī)矩，會收集手機(jī)本地文件里的圖片，但是并沒有將這些照片上傳到京東服務(wù)器上的直接證據(jù)。畢竟本地圖片緩存不管怎么操作都還是在客戶自己的手機(jī)里，只有私自上傳才會侵犯客戶隱私。

還有網(wǎng)友認(rèn)為，截圖反饋是App的“標(biāo)準(zhǔn)操作”，其他很多App都有類似功能。京東金融App可能是出了什么 BUG。因為如果真要用戶的截圖，根本不用這么麻煩復(fù)制到自己的目錄，即使要復(fù)制也不可能這么不加掩飾，不會讓用戶這么輕而易舉地就直接打開看見。最大可能這個截圖攔截是給“反饋”功能使用的，但不知道是由于技術(shù)問題還是其他原因變成了攔截所有圖片。

聲明

功能開發(fā)存在技術(shù)問題

明確“圖片不會私自上傳”

經(jīng)過24小時的全面排查，昨天14時56分，京東金融官微發(fā)布最新聲明并向客戶致歉。京東金融承認(rèn)開發(fā)技術(shù)存在問題，但是沒有對用戶照片和截屏進(jìn)行私自上傳，經(jīng)排查也未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

京東金融在聲明中稱，安全技術(shù)團(tuán)隊對所有版本的京東金融App進(jìn)行排查后，發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問題，并已定位問題且下線修復(fù)。

根據(jù)京東金融的解釋，2018年12月，京東金融App5.0.5版本上線了客服截屏反饋功能，此功能的目的是，用戶對京東金融App進(jìn)行截屏?xí)r，本人可將京東金融App截屏發(fā)送給在線客服人員，以提高與在線客服的溝通效率。此功能可以實現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示，但技術(shù)上不具備圖片自動上傳的能力，圖片僅緩存在用戶手機(jī)本地。

聲明承認(rèn)京東金融App在該項功能開發(fā)上存在技術(shù)問題，具體為用戶將京東金融App切換到后臺后，該功能繼續(xù)運行，繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存，而原功能設(shè)計需求是切換后自動停止該功能，屬于需求錯誤開發(fā)。同時，經(jīng)過安全技術(shù)團(tuán)隊深度評估，該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來實現(xiàn)，應(yīng)該直接使用手機(jī)實時內(nèi)存(RAM)實現(xiàn)并增強(qiáng)提醒，無需使用手機(jī)本地緩存，當(dāng)京東金融App切換或退出時，將自動清空。

對于技術(shù)上的這種低級失誤，京東金融也表示十分痛心。“因為我們這個低級失誤，給用戶和行業(yè)帶來廣泛擔(dān)憂，傷害到京東金融長期以來積累的用戶信賴，我們比誰都覺得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線，京東金融也恪守正道成功的商業(yè)經(jīng)營理念，我們絕不會做任何侵害用戶權(quán)益的事。”京東金融在致歉聲明中表示，“這次的失誤，是我們在產(chǎn)品開發(fā)過程中的技術(shù)問題，我們從未想過未經(jīng)用戶授權(quán)獲取用戶圖片。這次的跟頭摔得很重，但是請大家相信我們，京東金融之前沒有、未來也不會私自上傳用戶圖片，并愿意接受權(quán)威官方機(jī)構(gòu)的檢測。”

為徹底打消公眾的疑慮，京東金融表示，周一將邀請權(quán)威官方機(jī)構(gòu)對京東金融App進(jìn)行全面的安全性檢測，并承諾未來每季度進(jìn)行權(quán)威官方檢測，及時公告檢測結(jié)果。同時下周將邀請包括本次問題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問小組，對京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨立、長期的檢查監(jiān)督，并將定期公布顧問小組的檢查結(jié)果。