“我开通的免密支付,金额超两百就要输入密码,现在单凭京东的付款码就刷走几千块,这么大的金额,连密码都不用输入,京东的支付安全性太低了!” 家住广州市海珠区的胡先生前几天找人在京东商城代抢茅台,但没想到,非但没抢到茅台,反被盗刷了近3000元。
24日,胡先生告诉记者,自己授权代理人用其账号登录抢购,但对方在不知道支付密码情况下,仅通过京东的付款码便轻易刷走几千元。这让胡先生对京东支付的安全能力产生了怀疑。
25日,京东客服人员称,京东的付款码跟微信付款码类似,只要与京东进行合作,商家就可以开通收款功能,而且“单笔交易应该没有限额,只要用户有足够的额度,钱都可以一次性扣出去,不需要输入支付密码”。
胡先生称,由于扣走资金的是一个虚拟商家,“京东客服说也找不到对应商户,没办法追溯,建议我报警”。实际上,警觉的胡先生事发当晚就报了警,警方受理该案。
雇人代抢茅台,被盗刷近3000元
胡先生是京东的老顾客,已经在京东上累计花了十几万元。今年“双11”前后,京东APP推出了一个抢购茅台的活动。“在实体店买要2600元,但京东才1500元,而且货源也可能更可靠一些。”考虑到平日里亲朋好友聚会较多,胡先生便想多买几瓶茅台备用。
不过,茅台酒不好买,他便加了代抢茅台的QQ群。很快,就有人主动找上门来。胡先生与对方约定“代抢一瓶茅台付360元佣金”,“他说帮我抢,然后我来付款就可以了。”
胡先生告诉记者,这是他第一次在京东让别人登录自己账号代抢商品。此前,在其他购物平台上也曾请人帮忙抢购过东西,“别人登录我的账号,帮我抢到后,我再登录付款。”因此,他预计京东应该也是如此。他便按照对方要求,提供了自己的手机号。从胡先生处获取了手机验证码后,11月20日晚上8点47分,对方便成功登录了胡先生的京东账号。
仅过了三分钟,胡先生便收到了一条信息,称他已通过银行卡支付了1000元。紧接着,京东金融也发来信息,“说我使用白条支付了1999元。”
胡先生的京东账号被盗刷了近3000元。
察觉到异样的胡先生马上登录自己的京东账号,踢走对方的登录设备。“我白条有两万多的额度,还好我发现得早,不然后果不堪设想。”
发现被盗刷后,胡先生立即前往当地派出所报警,警方受理了此案。
京东付款码高额支付不需要密码
“我没把支付密码给他,我的钱怎么会被刷走呢?”胡先生百思不得其解。
仔细查看支付信息后,胡先生发现了端倪。支付短信显示:对方是通过扫描二维码支付的。胡先生这才发现,京东有一个“付款码”功能,“这个付款码就类似于微信的付款码,只要出示京东的付款码,就可以把我的钱扫走。”
交易信息显示,对方通过扫描二维码支付盗刷资金。
“一个购物平台为什么要具有电子钱包的功能?这是一个非常大的漏洞。”胡先生称,他此前并不知道京东有付款码,否则不会将自己的账号交给陌生人。他还认为,京东付款“支付这么大金额都不需要输入密码的设计不合理”。
胡先生查看交易明细后,发现被盗刷的2999元均转给了一个名为“深圳市摄影工作室”的商户,“但这是个虚拟商家,追不到它。”
11月21日,胡先生将情况反映给京东客服,“客服说也找不到商户,没办法追溯收款方是谁,建议我报警。”
京东客服:单笔交易无限额,且不必输入密码
记者登录京东APP发现,在“首页”的右上角有一个“扫啊扫”图标。点击该图标后,便会出现“付款码”功能。通过实名认证、绑定银行卡、人脸识别、设置支付密码等步骤后,便可以成功开通付款码。目前,该付款码可支持银行卡、快捷支付、白条支付和小金库支付。但记者留意到,进入该付款码页面时,用户无须输入支付密码或者进行指纹验证。
京东付款码。
为进一步了解情况,记者25日以用户身份致电了京东客服。该名客服人员告诉记者,京东的付款码跟微信付款码是一样的。只要与京东进行合作,商家就可以开通收款功能。
京东付款码是否有限额?该客服人员称:“单笔交易应该没有限额。”
“除非你使用银行卡支付,银行卡自带的单次限额功能会限制消费,否则的话是没有限额的。比如你有5000块的白条额度,使用付款码功能的话是可以一次性扣出去的,也不需要输入密码。”该客服人员向记者解释道。此外,他还强调,只要用户有足够的额度,钱都可以一次性扣出去,“而且不需要输入支付密码,进入付款码页面也不需要有指纹验证。”
【记者】陈海燕
【实习生】刘裕华
【统筹】曹嫒嫒
【作者】 陈海燕
南方探针
