京东再曝“隐私门”旗下APP秘密收集用户WiFi密码

来源:搜狐新闻 2017-08-13 06:56:00

近日,有媒体报道,京东旗下一款APP——京东微联在使用时,私自把用户的wifi密码上传回服务器,收集用户隐私数据。网上搜索相关信息可见,这已非京东第一次被曝出威胁用户隐私安全,今年以来京东曾连续被曝泄露用户隐私数据,其网络工程师监守自盗的案件更是规模惊人,甚至引起公安部和境外媒体的关注。

京东微联是京东开发的一款用于智能设备管理的应用,据其官方介绍,这款APP可用于统一管理所有在京东购买的智能商品。

据爆料者演示,用户在使用京东微联管理智能设备时,连接网络后,这款APP会在用户不知情的情况下,把wifi的用户名和密码回传到京东的服务器上。按照常理,完成设备入网配置时,京东微联只需要将wifi密码发送给设备即可,完全没有必要上传到京东服务器。

还有一点值得注意的是,京东将用户的wifi密码上传到服务器时是明文传送的,没有加密,这也为黑客攻击提供了便利,对用户的隐私安全造成了很大威胁。

Wifi已成为网民上网的重要入口,其密码属于用户重要的隐私,一旦wifi密码被人掌握,那么不法分子就有可能截获通过网络传输的银行卡、账户等各种各样的隐私数据,可造成巨大经济损失。

这已经不是京东第一次被曝出泄露用户隐私数据。2016年12月,京东出现了大规模的用户隐私泄露,外泄数据量达到12G,数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。

2017年3月7日,公安部网站发布消息,“破获一起特大窃取出售公民个人信息案,抓获犯罪嫌疑人96名,查获被窃取公民信息50多亿条。”几天后,京东发布官方声明,承认员工监守自盗,为50亿条公民信息泄露案主犯。

警方查明,网络工程师郑某鹏,2016年入职京东,长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。高达50亿条用户个人隐私信息被盗卖出去后,很可能造成黑产盯上无辜用户,造成巨大财产损失。

专家指出,用户隐私数据泄露或被窃事件频发,根本原因在于一些企业对隐私数据保护没有足够的认知和专业能力。用户隐私保护也是今年6月1日开始施行的《中华人民共和国网络安全法》的重要议题。

《网络安全法》第四十一条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”据此来看,京东微联在用户不知情的情形下,收集wifi密码,或涉嫌违反网络安全法。返回搜狐,查看更多

点击查看原文

相关链接