这是一个创建于 1597 天前的主题,其中的信息可能已经有所发展或是发生改变。
原帖 https://www.v2ex.com/t/683913
鉴于原帖已经被移入水深火热,部分人可能看不到,我就重复一下背景:
6 月 21 日,我正在高速上开车时,收到银行通知,说扣了一笔 150 多的京东订单款
心中顿时起疑:是谁替我下了订单、并且付了款?
我的京东账户,除了我本人外,从未给过他人操作
更不要说告诉别人我的支付密码了
回到家中查看京东账户,订单已经出库
于是急忙提交了退款申请,然后联系了在线客服
在线客服先是说这个订单是朋友送我的东西
我问:在我账户中、用我的信用卡付款,怎么会是朋友送我?
客服改口说,是我自己“小额免密”支付了
于是我截了图给他看,我根本没有启用这个功能
结果客服除了咬定京东平台是安全的,再没有其它说明了
于是我要求京东 24 小时内查明:1 、订单是谁下的; 2 、是谁支付的。
再次联系在线客服,在线客服除了咬定京东平台是不会替我下单支付的外,就是建议我报案。
以下是本次新补充内容:
订单截图,请注意 [下单时间] 和 [支付时间] ,仅仅间隔 1 秒!
试问,谁能在这么短时间内完成下单并完成付款?
代下单列表为空,也就是不是系统代下单,客户电话中也承认是普通订单,并非代下订单。
到家后就立即取消了,但取消失败。
到家后就立即向客服反馈了
我的账户信息,请注意我的账户名称,用的是京东默认的,就因为这个复杂
我没有开通 [免密支付] 功能
京东商城 331239 号 客服 2020 年 0 6 月 2 4 日 1 4 点 4 6 分 来电录音
希望听录音的,请下载: https://wws.lanzous.com/iesNbe6y8bi
以下是文字版。请注意,客服在电话中确认了几项问题:
a 、我的账号没有异常信息;
b 、我没有开通免密支付;
c 、异常订单不是代下单;
d 、京东只有 [免密支付] 功能可以跳过用户输入支付密码;
e 、下单时间和支付时间仅仅相差 1 秒;
f 、下单 IP 是 10.189.8.39 (局域网 IP 地址)
截止到今天 0701,京东没有人再联系我处理此事
派出所目前还未回应是否立案,后续有进度,我会发布新的续贴
如果有 V 友有类似遭遇,请跟帖留言
如果有 V 友有能力联系刘强东,或媒体,或上热搜,请跟帖留言
声明:
1 、我写出此事,并不是想引导大家相信什么。我相信每个人有自己的判断标准和逻辑。
2 、我不想和谁就此事争论什么,我更希望京东能查清楚。如果京东不愿意主动查,我希望有外力能帮助它。
3 、这件事,金额和收货人并不重要,重要的是,谁掌握这样的能力 —— 如果某些人只是初步尝试,下一步,他们可能会伤害更多的人。
鉴于原帖已经被移入水深火热,部分人可能看不到,我就重复一下背景:
6 月 21 日,我正在高速上开车时,收到银行通知,说扣了一笔 150 多的京东订单款
心中顿时起疑:是谁替我下了订单、并且付了款?
我的京东账户,除了我本人外,从未给过他人操作
更不要说告诉别人我的支付密码了
回到家中查看京东账户,订单已经出库
于是急忙提交了退款申请,然后联系了在线客服
在线客服先是说这个订单是朋友送我的东西
我问:在我账户中、用我的信用卡付款,怎么会是朋友送我?
客服改口说,是我自己“小额免密”支付了
于是我截了图给他看,我根本没有启用这个功能
结果客服除了咬定京东平台是安全的,再没有其它说明了
于是我要求京东 24 小时内查明:1 、订单是谁下的; 2 、是谁支付的。
再次联系在线客服,在线客服除了咬定京东平台是不会替我下单支付的外,就是建议我报案。
以下是本次新补充内容:
订单截图,请注意 [下单时间] 和 [支付时间] ,仅仅间隔 1 秒!
试问,谁能在这么短时间内完成下单并完成付款?
代下单列表为空,也就是不是系统代下单,客户电话中也承认是普通订单,并非代下订单。
到家后就立即取消了,但取消失败。
到家后就立即向客服反馈了
我的账户信息,请注意我的账户名称,用的是京东默认的,就因为这个复杂
我没有开通 [免密支付] 功能
京东商城 331239 号 客服 2020 年 0 6 月 2 4 日 1 4 点 4 6 分 来电录音
希望听录音的,请下载: https://wws.lanzous.com/iesNbe6y8bi
以下是文字版。请注意,客服在电话中确认了几项问题:
a 、我的账号没有异常信息;
b 、我没有开通免密支付;
c 、异常订单不是代下单;
d 、京东只有 [免密支付] 功能可以跳过用户输入支付密码;
e 、下单时间和支付时间仅仅相差 1 秒;
f 、下单 IP 是 10.189.8.39 (局域网 IP 地址)
截止到今天 0701,京东没有人再联系我处理此事
派出所目前还未回应是否立案,后续有进度,我会发布新的续贴
如果有 V 友有类似遭遇,请跟帖留言
如果有 V 友有能力联系刘强东,或媒体,或上热搜,请跟帖留言
声明:
1 、我写出此事,并不是想引导大家相信什么。我相信每个人有自己的判断标准和逻辑。
2 、我不想和谁就此事争论什么,我更希望京东能查清楚。如果京东不愿意主动查,我希望有外力能帮助它。
3 、这件事,金额和收货人并不重要,重要的是,谁掌握这样的能力 —— 如果某些人只是初步尝试,下一步,他们可能会伤害更多的人。
第 1 条附言 · 2020-07-01 14:15:43 +08:00
.
强调一下:
我认为这件事应该分 2 个问题
a,怎么下的单?
b,怎么支付的?
而这 2 个问题中,性质最重要的是第二个:怎么支付的?
因为京东除了小额免密功能外,都需要用户自己输入支付密码。
而我并没有开通小额免密功能,同时从下单后 1 秒就完成支付来看,也不可能是我手工支付的。
很多人推测认为是京东的系统下单并支付的,所以才能在下单后 1 秒、在没有支付密码的情况下完成。这应该是目前唯一的可能了。尤其加上下单 IP 是局域网 IP (支付 IP 京东拒绝提供)。
但如果真是这样,那么就有问题了————京东的系统还可信吗?
虽然京东客服一再强调系统没问题,可并不能解释这个订单。虽然客服一再保证安全,可没有任何凭证。
强调一下:
我认为这件事应该分 2 个问题
a,怎么下的单?
b,怎么支付的?
而这 2 个问题中,性质最重要的是第二个:怎么支付的?
因为京东除了小额免密功能外,都需要用户自己输入支付密码。
而我并没有开通小额免密功能,同时从下单后 1 秒就完成支付来看,也不可能是我手工支付的。
很多人推测认为是京东的系统下单并支付的,所以才能在下单后 1 秒、在没有支付密码的情况下完成。这应该是目前唯一的可能了。尤其加上下单 IP 是局域网 IP (支付 IP 京东拒绝提供)。
但如果真是这样,那么就有问题了————京东的系统还可信吗?
虽然京东客服一再强调系统没问题,可并不能解释这个订单。虽然客服一再保证安全,可没有任何凭证。
第 2 条附言 · 2020-07-01 14:26:14 +08:00
假设:这是一个新漏洞
那么为什么会是我自己的收货信息也很容易解释了:
一来容易被大家认为是我自己下的自己忘记了、甚至有可能我自己也这么认为,不容易引起关注;
二是可能销毁订单记录的漏洞还没有完全掌握,所以没法下单送货给自己,否则会被发现个追踪。
那么为什么会是我自己的收货信息也很容易解释了:
一来容易被大家认为是我自己下的自己忘记了、甚至有可能我自己也这么认为,不容易引起关注;
二是可能销毁订单记录的漏洞还没有完全掌握,所以没法下单送货给自己,否则会被发现个追踪。
 |
1
xy2020 OP 1 、下单后 1 秒完成支付;
2 、下单地址是局域网地址; 3 、下单时、支付时,我正在高速上开车; 4 、我的支付密码,没有任何第三人知道; 5 、我没有开启过代下订单和小额免密功能; |
 |
2
yuzo555 2020-07-01 01:30:06 +08:00
看时间点、IP,像是自动操作下的单,估计是类似自动购买之类的功能。
楼主现在截图的代下单列表,根本不能说明什么,正常逻辑本来就是如果代下单成功,代下单列表肯定就没这笔了。。 这是分析。 但具体是谁操作的自动购买,可能有疑问: 1. 可能是楼主误操作忘记了; 2. 或者是京东后台系统错误导致误下单; 3. 也可能是第三方 APP 的原因。(从内网 IP 来看,这点可能不大) 京东客服我认为他也不懂这个事情,连个内网 IP 都看不出来,我感觉他们的工作只是安抚顾客,并不是严谨对质... |
|
4
xy2020 OP 无论是谁下的订单
客服已经确认过,京东只有 [小额免密] 功能可以跳过用户输入支付密码 同时也确认过,我没有启用 [小额免密] 功能 这个订单,是如何在我开车时、在下单后 1 秒就被支付的呢? 这个,才是最重要的核心。 |
 |
5
mynameisz 2020-07-01 07:38:47 +08:00 via iPhone
吃个瓜好了
|
 |
6
hand515 2020-07-01 08:52:51 +08:00
我试过收到过京东两次的异常订单邮件,还好的是没有经济上的损失,找客服也说没问题。
  |
 |
7
yanzuwu 2020-07-01 09:18:47 +08:00
我遇到过类似,被下了好多单,全部都是到货付款,我只损失了一些优惠券。
跟京东 PLUS 客服投诉,反馈说账号被盗用,然后我在手机端和网页端都查询了登录记录,没有其他人且没有异常。 然后客服又推脱说系统异常等等,投诉了约一周最后不了了之。 也拿京东没有任何办法,只能去他妈的 PLUS 会员吧,不续了。 而且大部分订单我在手机上都看不到,最后登录网页端才发现订单都被删除了。 |
 |
8
ylsc633 2020-07-01 09:31:46 +08:00
难道是 线上压测, 出了 bug? 哈哈哈哈
|
 |
9
Felldeadbird 2020-07-01 09:52:15 +08:00
有一个可能是窜号了。不排除这种低几率事情
|
|
11
xy2020 OP |
 |
12
vone 2020-07-01 11:12:42 +08:00
App 下单的话可以在账户安全->设备管理里面看下最近登录的设备。
|
 |
13
kuzhan 2020-07-01 11:37:59 +08:00
局域网 局域网 局域网 京东内部的锅 不是已经很明确了吗?
|
|
14
xy2020 OP |
 |
15
imn1 2020-07-01 12:20:56 +08:00
1 、下单后 1 秒完成支付;
鉴于这一条,基本上是自动,人手操作难以想象 1 秒 不过是谁下单就说不清了 |
 |
16
dariner 2020-07-01 12:23:53 +08:00
我建议你修改密码。不用再追查这个事情了,因为客服根本给不了什么信息 只能靠你去找,而且你这样 后面账户会黑的
|
|
17
xy2020 OP |
 |
18
ifxo 2020-07-01 12:38:19 +08:00
客服只是例行公事,全世界客服都这样,最底层最没话语权的人,客服说了算还是东哥说了算?咋能把她们的话当圣旨呢,你天天揪着人家不放有毛用。你这种情况就改改密码,两步验证有吗,开通了就行了,微信登过吗,也可能是手机微信中毒了,总之肯定是你自己的问题,发再多也没用的,浪费时间
|
 |
19
woodensail 2020-07-01 12:46:49 +08:00  1
@ifxo 这种情况改密码和两步验证都没用。代下单先不提,就 1 秒完成支付这一点来看,jd 那边的事故导致了用户在没开免密支付的情况下,京东那边却进行了自动支付。很明显是走的内部调用,你在用户层面做再多安全措施也没用。
比较有用的方式是停用京东支付,改用微信支付等第三方支付。这样就算 jd 就算有再大的本身,也没法绕过其他平台的安全措施来自动支付。 |
|
20
xy2020 OP @ifxo 客服是不是例行公事我管不了,这是京东提供给客户的唯一窗口,我只能找他们。当然,如果你能提供刘强东的直接联系方式,我当然愿意直接找他。以前我倒是有 LDX 的联系方式,只是很多年不联系了。
|
|
21
xy2020 OP @woodensail 是的,可惜很多人看不到这一点。
|
 |
22
putaozhenhaochi 2020-07-01 13:06:10 +08:00 via Android
精神支持楼主。
我们每个人应该有这种必须把事情搞清楚的精神。 |
 |
23
Cipool 2020-07-01 13:16:41 +08:00 via Android
看楼主态度如此坚定,如果京东不肯处理,去北京 12315 投诉试试,如果还不行,去北京互联网法院直接起诉。
|
 |
24
ShuoHui 2020-07-01 13:18:52 +08:00 via iPhone
已收藏,持续关注
|
 |
25
iyaozhen 2020-07-01 13:21:41 +08:00
从系统开发上来说 串号(订单)来说还是有可能的。
但 JD 这个处理有点迷,这种问题不是应该高优处理嘛。或者问题并没有到核心开发团队、或者确实有 bug,不愿承认(因为个案问题一般不算作线上问题) |
 |
26
lzhnull 2020-07-01 13:37:21 +08:00 via Android
查一下,是不是用了自动下单功能,也就是到货自动下单。我之前遇到过,后来发现是抢口罩的时候不小心设置了。点击了不相关的产品。也用了自动下单。
|
 |
27
kkk123 2020-07-01 13:42:42 +08:00
12315 就一复读机,没什么用的
|
 |
28
Egfly 2020-07-01 13:45:49 +08:00
12315 不敢恭维,打过几次电话都是没后续
|
 |
29
mrcn 2020-07-01 14:03:07 +08:00 via Android
这个 ip 和这个时间差,是 jd 的程序自动操作的无疑了。
|
|
30
xy2020 OP |
|
32
mrcn 2020-07-01 14:14:28 +08:00 via Android
@xy2020 #30 被利用还是不至于,东西不是寄到你自己那里了吗,这么做等于是替京东刷单,攻击者得不到利益啊。更多估计是京东的程序出问题了,可以要求他们赔偿点什么。怕的话取消京东支付在银行的签约就好了。
|
|
33
xy2020 OP @mrcn 京东自己没有刷单的必要吧。我更担心的是,这是一个新漏洞,利用的人也只是初步验证而已。为什么会是我的收货信息也很容易理解,因为一来容易被大家认为是我自己下的自己忘记了、甚至有可能我自己也这么认为,不容易引起关注;二是可能销毁订单记录的漏洞他还没有完全掌握,所以没法下单送货给自己。
|
|
34
kkk123 2020-07-01 14:46:15 +08:00
说不定又是一个复制生产数据做测试搞出来的,或者生产、测试环境没做隔离
|
|
35
woodensail 2020-07-01 15:01:08 +08:00
@iyaozhen 肯定不可能承认的啊,内部估计会处罚,但是对外不能松口,一送口就会被人攻击到死。
|
 |
36
futou 2020-07-01 15:01:33 +08:00
你电话要求升级处理,预约专员 /专家回电。你只需要让专员解释两点:1 秒支付和下单 ip 。解释不了你就去工信部 /12315 投诉京东系统出现问题却不配合调查解决。
|
 |
38
ccoming 2020-07-01 15:23:41 +08:00
我做电商的,告诉你:在线客服大多没用的,有答复记录就行,大概率不会回访的。
建议:换个安卓手机,开通话录音,然后找京东的电话客服,开口就问工号,反馈情况后说明一定要登记上工单,*天内要求得到回复。 这样,他们找不到原因,也必定会回电话你。 |
 |
39
sigone 2020-07-01 15:23:49 +08:00 via Android
京东将账户中的几十块余额偷偷的移入了小金库,一年多以后机缘巧合下我才发现的。 我就根本没有开过小金库的功能,这群王八蛋。
|
|
40
xy2020 OP |
|
41
xy2020 OP 派出所刚刚来电话,约明天上午去现场沟通确认
希望能立案 但听警官的语气,可能不能如愿 |
 |
42
heimirror 2020-07-01 17:29:52 +08:00
可能是京东内部人员测试系统,不小心弄到真实环境了
|
Select Language