今日���,京東金融客服官方微博再發(fā)聲明致歉����,稱排查后�,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題,并已定位問(wèn)題且下線修復(fù)���。
京東金融在致歉信中稱���,2018年12月���,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是���,用戶對(duì)京東金融App進(jìn)行截屏?xí)r���,本人可將京東金融App截屏發(fā)送給在線客服人員,以提高與在線客服的溝通效率���。京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題�����,具體為用戶將京東金融App切換到后臺(tái)后�����,該功能繼續(xù)運(yùn)行�,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存�����,而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能�,屬于需求錯(cuò)誤開(kāi)發(fā)。
聲明中也補(bǔ)充道���,此次技術(shù)問(wèn)題涉及的新增緩存圖片僅存在用戶手機(jī)本地�,京東金融App堅(jiān)決沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳����,也對(duì)該功能進(jìn)行了全面排查,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集�。
京東金融稱,周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè)���,并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè)����,及時(shí)公告檢測(cè)結(jié)果���。除此之外����,下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問(wèn)小組�,對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督�,將定期公布顧問(wèn)小組的檢查結(jié)果。
京東金融致歉稱�����,因?yàn)檫@個(gè)低級(jí)失誤���,給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂�����,傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴���,其比誰(shuí)都覺(jué)得不值得,非常懊惱�����、非常痛心���、非常自責(zé)�����。
以下為京東金融客服聲明全文:
1�����、安全技術(shù)團(tuán)隊(duì)對(duì)所有版本的京東金融App進(jìn)行排查后�����,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題����,并已定位問(wèn)題且下線修復(fù):
1)2018年12月�,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是�����,用戶對(duì)京東金融App進(jìn)行截屏?xí)r�,本人可將京東金融App截屏發(fā)送給在線客服人員,以提高與在線客服的溝通效率����。
2)此功能實(shí)現(xiàn)是通過(guò)安卓系統(tǒng)的兩個(gè)官方通用類ContentObserver和MediaStore的組合調(diào)用來(lái)接收用戶手機(jī)截屏動(dòng)作的通知,使用了UniversalImageLoader這個(gè)通用第三方庫(kù)實(shí)現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示,但上述技術(shù)均不具備圖片自動(dòng)上傳的能力�,圖片僅緩存在用戶手機(jī)本地。
3)京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題�,具體為用戶將京東金融App切換到后臺(tái)后,該功能繼續(xù)運(yùn)行����,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存,而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能���,屬于需求錯(cuò)誤開(kāi)發(fā)�。同時(shí)���,經(jīng)過(guò)安全技術(shù)團(tuán)隊(duì)深度評(píng)估���,該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來(lái)實(shí)現(xiàn),應(yīng)該直接使用手機(jī)實(shí)時(shí)內(nèi)存(RAM)實(shí)現(xiàn)并增強(qiáng)提醒�,無(wú)需使用手機(jī)本地緩存,當(dāng)京東金融App切換或退出時(shí)���,將自動(dòng)清空���。
2����、此次技術(shù)問(wèn)題涉及的新增緩存圖片僅存在用戶手機(jī)本地�����,京東金融App堅(jiān)決沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳�����,也對(duì)該功能進(jìn)行了全面排查�,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集����。
對(duì)于上述說(shuō)明,大家可能依然會(huì)質(zhì)疑事實(shí)的真相����,我們將馬上采取以下措施:
1)我們周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè),并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè)�����,及時(shí)公告檢測(cè)結(jié)果����。
2)我們下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家���、媒體組成信息安全顧問(wèn)小組,對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立����、長(zhǎng)期的檢查監(jiān)督,我們將定期公布顧問(wèn)小組的檢查結(jié)果�����。
3)我們將賦予內(nèi)部安全技術(shù)團(tuán)隊(duì)對(duì)產(chǎn)品功能的直接否決權(quán)�����,將投入更多資源�,建立更為嚴(yán)謹(jǐn)?shù)陌踩珜彶闄C(jī)制,對(duì)每一項(xiàng)技術(shù)應(yīng)用和業(yè)務(wù)功能進(jìn)行更加嚴(yán)格�、全面的安全測(cè)試。
因?yàn)槲覀冞@個(gè)低級(jí)失誤���,給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂���,傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴����,我們比誰(shuí)都覺(jué)得不值得���,非常懊惱�、非常痛心�、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線����,京東金融也恪守正道成功的商業(yè)經(jīng)營(yíng)理念�,我們絕不會(huì)做任何侵害用戶權(quán)益的事。
這次的失誤����,是我們?cè)诋a(chǎn)品開(kāi)發(fā)過(guò)程中的技術(shù)問(wèn)題,我們從未想過(guò)未經(jīng)用戶授權(quán)獲取用戶圖片�。這次的跟頭摔得很重,但是請(qǐng)大家相信我們����,京東金融之前沒(méi)有、未來(lái)也不會(huì)私自上傳用戶圖片����,并愿意接受權(quán)威官方機(jī)構(gòu)的檢測(cè)�����。我們感謝用戶和媒體對(duì)我們的監(jiān)督�����,并指出我們工作上的漏洞����,我們有信心解決�,也請(qǐng)大家對(duì)我們繼續(xù)監(jiān)督。
再次致歉���。
京東金融
2019/2/17
