今日����,京東金融客服官方微博再發(fā)聲明致歉,稱排查后����,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問題,并已定位問題且下線修復����。
京東金融在致歉信中稱����,2018年12月����,京東金融App5.0.5版本上線了客服截屏反饋功能,此功能的目的是����,用戶對京東金融App進行截屏時,本人可將京東金融App截屏發(fā)送給在線客服人員����,以提高與在線客服的溝通效率。京東金融App在該項功能開發(fā)上存在技術(shù)問題����,具體為用戶將京東金融App切換到后臺后,該功能繼續(xù)運行����,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機本地緩存,而原功能設(shè)計需求是切換后自動停止該功能����,屬于需求錯誤開發(fā)����。
聲明中也補充道����,此次技術(shù)問題涉及的新增緩存圖片僅存在用戶手機本地,京東金融App堅決沒有對用戶照片和截屏進行私自上傳����,也對該功能進行了全面排查����,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。
京東金融稱����,周一將邀請權(quán)威官方機構(gòu)對京東金融App進行全面的安全性檢測,并承諾未來每季度進行權(quán)威官方檢測����,及時公告檢測結(jié)果。除此之外����,下周將邀請包括本次問題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家����、媒體組成信息安全顧問小組����,對京東金融App提供的產(chǎn)品和服務(wù)進行獨立、長期的檢查監(jiān)督����,將定期公布顧問小組的檢查結(jié)果。
京東金融致歉稱����,因為這個低級失誤,給用戶和行業(yè)帶來廣泛擔憂����,傷害到京東金融長期以來積累的用戶信賴,其比誰都覺得不值得����,非常懊惱、非常痛心����、非常自責����。
以下為京東金融客服聲明全文:
1����、安全技術(shù)團隊對所有版本的京東金融App進行排查后,發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問題����,并已定位問題且下線修復:
1)2018年12月,京東金融App5.0.5版本上線了客服截屏反饋功能����,此功能的目的是����,用戶對京東金融App進行截屏時,本人可將京東金融App截屏發(fā)送給在線客服人員����,以提高與在線客服的溝通效率。
2)此功能實現(xiàn)是通過安卓系統(tǒng)的兩個官方通用類ContentObserver和MediaStore的組合調(diào)用來接收用戶手機截屏動作的通知����,使用了UniversalImageLoader這個通用第三方庫實現(xiàn)截屏的本地緩存以及預覽縮略圖快速展示����,但上述技術(shù)均不具備圖片自動上傳的能力����,圖片僅緩存在用戶手機本地。
3)京東金融App在該項功能開發(fā)上存在技術(shù)問題����,具體為用戶將京東金融App切換到后臺后,該功能繼續(xù)運行����,繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機本地緩存,而原功能設(shè)計需求是切換后自動停止該功能����,屬于需求錯誤開發(fā)。同時����,經(jīng)過安全技術(shù)團隊深度評估,該功能也不應(yīng)該使用手機緩存技術(shù)來實現(xiàn)����,應(yīng)該直接使用手機實時內(nèi)存(RAM)實現(xiàn)并增強提醒����,無需使用手機本地緩存����,當京東金融App切換或退出時,將自動清空����。
2、此次技術(shù)問題涉及的新增緩存圖片僅存在用戶手機本地����,京東金融App堅決沒有對用戶照片和截屏進行私自上傳,也對該功能進行了全面排查����,并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集����。
對于上述說明,大家可能依然會質(zhì)疑事實的真相����,我們將馬上采取以下措施:
1)我們周一將邀請權(quán)威官方機構(gòu)對京東金融App進行全面的安全性檢測����,并承諾未來每季度進行權(quán)威官方檢測����,及時公告檢測結(jié)果。
2)我們下周將邀請包括本次問題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家����、媒體組成信息安全顧問小組,對京東金融App提供的產(chǎn)品和服務(wù)進行獨立����、長期的檢查監(jiān)督,我們將定期公布顧問小組的檢查結(jié)果����。
3)我們將賦予內(nèi)部安全技術(shù)團隊對產(chǎn)品功能的直接否決權(quán),將投入更多資源����,建立更為嚴謹?shù)陌踩珜彶闄C制,對每一項技術(shù)應(yīng)用和業(yè)務(wù)功能進行更加嚴格、全面的安全測試����。
因為我們這個低級失誤,給用戶和行業(yè)帶來廣泛擔憂����,傷害到京東金融長期以來積累的用戶信賴,我們比誰都覺得不值得����,非常懊惱、非常痛心����、非常自責。用戶信賴是京東金融發(fā)展的底線����,京東金融也恪守正道成功的商業(yè)經(jīng)營理念,我們絕不會做任何侵害用戶權(quán)益的事����。
這次的失誤,是我們在產(chǎn)品開發(fā)過程中的技術(shù)問題����,我們從未想過未經(jīng)用戶授權(quán)獲取用戶圖片。這次的跟頭摔得很重����,但是請大家相信我們,京東金融之前沒有����、未來也不會私自上傳用戶圖片,并愿意接受權(quán)威官方機構(gòu)的檢測����。我們感謝用戶和媒體對我們的監(jiān)督,并指出我們工作上的漏洞����,我們有信心解決,也請大家對我們繼續(xù)監(jiān)督����。
再次致歉。
京東金融
2019/2/17
