今日,京東金融客服官方微博再發(fā)聲明致歉,稱排查后,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題,并已定位問(wèn)題且下線修復(fù)。
京東金融在致歉信中稱,2018年12月,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是,用戶對(duì)京東金融App進(jìn)行截屏?xí)r,本人可將京東金融App截屏發(fā)送給在線客服人員,以提高與在線客服的溝通效率。京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題,具體為用戶將京東金融App切換到后臺(tái)后,該功能繼續(xù)運(yùn)行,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存,而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能,屬于需求錯(cuò)誤開(kāi)發(fā)。
聲明中也補(bǔ)充道,此次技術(shù)問(wèn)題涉及的新增緩存圖片僅存在用戶手機(jī)本地,京東金融App堅(jiān)決沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳,也對(duì)該功能進(jìn)行了全面排查,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。
京東金融稱,周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè),并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè),及時(shí)公告檢測(cè)結(jié)果。除此之外,下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問(wèn)小組,對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督,將定期公布顧問(wèn)小組的檢查結(jié)果。
京東金融致歉稱,因?yàn)檫@個(gè)低級(jí)失誤,給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂,傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴,其比誰(shuí)都覺(jué)得不值得,非常懊惱、非常痛心、非常自責(zé)。
以下為京東金融客服聲明全文:
1、安全技術(shù)團(tuán)隊(duì)對(duì)所有版本的京東金融App進(jìn)行排查后,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問(wèn)題,并已定位問(wèn)題且下線修復(fù):
1)2018年12月,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是,用戶對(duì)京東金融App進(jìn)行截屏?xí)r,本人可將京東金融App截屏發(fā)送給在線客服人員,以提高與在線客服的溝通效率。
2)此功能實(shí)現(xiàn)是通過(guò)安卓系統(tǒng)的兩個(gè)官方通用類ContentObserver和MediaStore的組合調(diào)用來(lái)接收用戶手機(jī)截屏動(dòng)作的通知,使用了UniversalImageLoader這個(gè)通用第三方庫(kù)實(shí)現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示,但上述技術(shù)均不具備圖片自動(dòng)上傳的能力,圖片僅緩存在用戶手機(jī)本地。
3)京東金融App在該項(xiàng)功能開(kāi)發(fā)上存在技術(shù)問(wèn)題,具體為用戶將京東金融App切換到后臺(tái)后,該功能繼續(xù)運(yùn)行,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存,而原功能設(shè)計(jì)需求是切換后自動(dòng)停止該功能,屬于需求錯(cuò)誤開(kāi)發(fā)。同時(shí),經(jīng)過(guò)安全技術(shù)團(tuán)隊(duì)深度評(píng)估,該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來(lái)實(shí)現(xiàn),應(yīng)該直接使用手機(jī)實(shí)時(shí)內(nèi)存(RAM)實(shí)現(xiàn)并增強(qiáng)提醒,無(wú)需使用手機(jī)本地緩存,當(dāng)京東金融App切換或退出時(shí),將自動(dòng)清空。
2、此次技術(shù)問(wèn)題涉及的新增緩存圖片僅存在用戶手機(jī)本地,京東金融App堅(jiān)決沒(méi)有對(duì)用戶照片和截屏進(jìn)行私自上傳,也對(duì)該功能進(jìn)行了全面排查,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。
對(duì)于上述說(shuō)明,大家可能依然會(huì)質(zhì)疑事實(shí)的真相,我們將馬上采取以下措施:
1)我們周一將邀請(qǐng)權(quán)威官方機(jī)構(gòu)對(duì)京東金融App進(jìn)行全面的安全性檢測(cè),并承諾未來(lái)每季度進(jìn)行權(quán)威官方檢測(cè),及時(shí)公告檢測(cè)結(jié)果。
2)我們下周將邀請(qǐng)包括本次問(wèn)題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問(wèn)小組,對(duì)京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長(zhǎng)期的檢查監(jiān)督,我們將定期公布顧問(wèn)小組的檢查結(jié)果。
3)我們將賦予內(nèi)部安全技術(shù)團(tuán)隊(duì)對(duì)產(chǎn)品功能的直接否決權(quán),將投入更多資源,建立更為嚴(yán)謹(jǐn)?shù)陌踩珜彶闄C(jī)制,對(duì)每一項(xiàng)技術(shù)應(yīng)用和業(yè)務(wù)功能進(jìn)行更加嚴(yán)格、全面的安全測(cè)試。
因?yàn)槲覀冞@個(gè)低級(jí)失誤,給用戶和行業(yè)帶來(lái)廣泛擔(dān)憂,傷害到京東金融長(zhǎng)期以來(lái)積累的用戶信賴,我們比誰(shuí)都覺(jué)得不值得,非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線,京東金融也恪守正道成功的商業(yè)經(jīng)營(yíng)理念,我們絕不會(huì)做任何侵害用戶權(quán)益的事。
這次的失誤,是我們?cè)诋a(chǎn)品開(kāi)發(fā)過(guò)程中的技術(shù)問(wèn)題,我們從未想過(guò)未經(jīng)用戶授權(quán)獲取用戶圖片。這次的跟頭摔得很重,但是請(qǐng)大家相信我們,京東金融之前沒(méi)有、未來(lái)也不會(huì)私自上傳用戶圖片,并愿意接受權(quán)威官方機(jī)構(gòu)的檢測(cè)。我們感謝用戶和媒體對(duì)我們的監(jiān)督,并指出我們工作上的漏洞,我們有信心解決,也請(qǐng)大家對(duì)我們繼續(xù)監(jiān)督。
再次致歉。
京東金融
2019/2/17