導讀：黑貓投訴平台上，關于京東金融涉嫌盜刷的投訴量居高不下。财熵聯系了兩位投訴者，一位身處海外，賬戶15萬元被無故劃走；一位在8分鐘之内被京東白條盜刷75筆支付訂單。根據兩人的口述，結合社交平台上有類似遭遇的投訴者，财熵大緻還原了京東盜刷的三種方式。盜刷究竟是信息洩露導緻，還是另有隐情？被劃走的資金究竟被轉去哪裡了？

截至7月7日，黑貓投訴上近30日對京東金融APP的投訴達到2023條，平均一天被投訴67次

2022年6月18日，京東（09618.HK，NASDAQ:JD）公布“618”購物節戰報。官方數據顯示，6月17日晚8點開始，京東白條交易額10秒破億，比上一年快了14秒。

但不少疑被京東白條盜刷的用戶，注定無法和這場狂歡共情。“現在我已經把京東金融APP删了。維權了一年多，真是心太累了，沒人相信京東會這麼幹。”徐英（化名）對财熵說。

2021年7月，徐英收到多個屬地為香港和新加坡、自稱“京東金融”的電話：“系統顯示您有借貸需求”。對方能準确地說出她在京東APP的注冊時間。

注冊時間等數據屬于用戶隐私，徐英在軟件開發行業從事了10年，直覺告訴她此事并不簡單。當她進一步調查和京東綁定的銀行卡賬戶流水及個人征信記錄時，被眼前的一幕震住：“賬戶莫名出現了多筆小額貸款，貸款主體為盛際小貸公司和一些商業銀行。每次貸款資金到賬的1分鐘内，賬戶出現奇怪的資金劃出記錄，劃走的是京東肯特瑞基金銷售有限公司（下稱‘肯特瑞’）。”

徐英告訴财熵，通過“被放貸後劃款”的方式，她累計被盜刷15萬元人民币（如無特殊注明，貨币單位下同）。這是她當時在海外學習期間做兼職一年所賺的錢，但至今這筆資金還沒追回來。

過去12個月裡，徐英忙于和京東金融交涉，“和京東客服打了不下1000個電話，但對方認定是我主動授權貸款和基金代扣業務的，表示用戶需要自行承擔損失。問題是，我平時基本不用京東APP，而且（被盜刷）那時我還在國外，怎麼可能用得上京東？”

事發以來，她一邊向監管部門舉報（但未獲處理）；一邊在社交平台上，積極為類似被京東盜刷以及尋求幫助的人提供意見，“畢竟這一年我踩的坑足夠多了”。

京東客服的回應，将盜刷歸咎到用戶個人信息洩露上。徐英認為，這場“無妄之災”的源頭，可能要追溯到2020年6月一個再平常不過的操作——當時她為了購買網課，在京東APP開通了白條，導緻在京東後台留下了數據痕迹。

财熵發現，截至7月6日，黑貓投訴上有關“京東盜刷”的投訴出現了911條，矛頭指向京東白條和京東支付。微博也出現多個帶有“白條盜刷”字眼的用戶ID。

财熵整理

為什麼涉及京東用戶隐私的信息會被洩露？劃走資金的京東肯特瑞是什麼來頭？在京東平台上發生類似的盜刷行為，京東該承擔什麼責任？

一條離奇的簽約短信

在黑貓投訴上，涉及京東金融無故扣款的案例，主要分成三種：1. 無故被開通肯特瑞小金庫并被扣款；2. 京東白條或金條無端欠款，逾期之時被扣款；3. 京東支付無故被第三方平台委托代扣。

徐英提供的銀行流水記錄顯示，其賬戶的資金頻繁通過“網銀在線—肯特瑞小金庫網銀平台”劃出，用途為“基金申購”。“未經授權，京東怎麼可以幫用戶申購投資産品呢？”她感到很疑惑。

銀行流水離奇出現多筆貸款和基金申購記錄 徐英供圖

從公開資料可知，網銀在線為京東在2012年收購的支付平台。換言之，這筆資金轉出的交易是通過京東支付發生的，并劃入了肯特瑞小金庫。

“肯特瑞小金庫就是肯特瑞基金，”徐英說。

在京東APP“我的錢包”界面上，對“小金庫”的推廣闆塊十分突出。公開資料顯示，京東對小金庫的定位是京東金融裡的“國民錢包”，對标的是支付寶的“餘額寶”和微信的“零錢通”，負責代銷貨币基金。

财熵嘗試開通京東小金庫，彈出來的是一份關于基金代銷的合約。合約顯示，小金庫背後的公司正是肯特瑞。當點擊存入“小金庫”，頁面直接就調到貨基申購，可供選擇的産品包括嘉實活錢包、南方天天利、民生加銀現金寶C等公募貨币基金。

京東金融客服也對财熵說：“小金庫就是一個貨币基金産品。”換言之，開通了小金庫即默認允許基金申購。

京東金融客服表示小金庫為貨基産品，财熵截圖

既然明确了小金庫是基金産品的屬性，根據《公開募集證券投資基金銷售機構監督管理辦法》第二十二條規定：“基金銷售機構應當及時告知投資人其認購、申購、贖回的基金名稱以及基金份額的确認日期、确認份額和金額等信息，做好有關信息傳遞工作。”

徐英表示，出事前她完全不知道小金庫是什麼，還是後來翻看手機短信，找到一條肯特瑞基金的簽約提醒，才得知自己無意中開通了這個業務。

2021年7月徐英才收到關于京東肯特瑞的授權短信 徐英供圖

一條驗證短信就能簽約？此前，上海市信息安全行業協會會長談劍峰在一次公開講話中，就警告過用短信驗證碼開通第三方支付的風險：“短信作為一種通信方式的固有屬性，決定了其安全防護等級不高，易受到木馬攔截、網絡釣魚、電信詐騙、信道竊聽等攻擊。”

徐英表示，她在收到短信後沒有輸入任何驗證碼，卻被開通了小金庫業務。更詭異的是收到短信的時間——已經是2021年7月，這時距離其個人賬戶被小金庫首次劃款，已經過去足足一年。

肯特瑞此類“先上車後補票”的行為，是否恰恰證明了其此前私自扣款、申購基金的行為是未獲授權的？

對于未獲客戶授權私自為其申購基金的行為，廣東廣強律師事務所合夥人曾傑律師對财熵表示，“一般兩種定性：如果所購買的基金歸屬權是代銷平台，這屬于明顯的侵占客戶資金，是否定罪要看平台是否采用欺騙的手段。如果是，那就屬于非法占用目的，可能涉嫌詐騙罪。”

另一種情況是，“如果說買來的基金産品歸屬于客戶，平台就是幫客戶私下做決定。這種行為一般屬于民事糾紛。互聯網基金代銷平台雖然稱不上金融公司，也屬于準金融公司，肯定也會接受行業的監管，（客戶）可以去金融監管局，或者是管理基金公司的證監會去進行舉報投訴，要求處罰。”曾傑說。

徐英向财熵展示了她在2022年1月29日、2月8日和京東金融客服對質的電話錄音。對話中，京東金融客服仍堅稱用戶已授權開通小金庫代扣業務——“（授權）時間是2020年7月首次還京東白條時，簽約即生效”。

當徐英追問“為什麼2020年就簽約完成的業務，2021年才推送簽約短信”時，客服說辭很含糊，先是表示不清楚，随後卻承認，這是“系統自動更換支付渠道歸還所緻，用戶無法自主選擇”，原因是還白條、金條時支付通道發生錯誤。

但從微博、知乎、黑貓投訴等平台上用戶對肯特瑞的投訴來看，這或許不是偶發性錯誤——不少用戶亮出了類似徐英提供的“簽約短信”，他們表示沒有操作輸入驗證，卻在收到“正在簽約”短信後的1分鐘内，自動收到“開通成功”的提示。

用戶亮出開通小金庫的簽約短信 圖源網絡

當然，簽約短信不是授權開通小金庫的唯一方式。有京東用戶表示，很多人在還白條時已“不知不覺”開通了小金庫。

根據知乎用戶“dbR24J”貼出的京東APP上還白條的界面，京東金融将授權開通小金庫協議一行字設計得相當隐蔽。用戶如果沒注意看，點擊了“開戶并還款”這個優先選項，将自動成為小金庫用戶。

開通小金庫的選項“藏”在還白條界面上，圖源知乎

一個簡單的“授權”動作，意味着自己的銀行賬戶将對來自京東金融的扣款指令開“綠燈”。财熵從肯特瑞基金的服務協議得知，開通小金庫後，銀行将根據用戶發給京東金融的指令，通過京東的電子支付系統直接扣款——這帶來便捷，但也帶來風險。

代扣也有代價？

資深京東用戶小楊向财熵展示了其小金庫的交易明細：每個月的資金先進後出，金額一緻。他解釋道，一旦開通了優先小金庫轉入還白條的選項，即意味着默許肯特瑞小金庫每月先從銀行卡扣款，然後再償還白條。

财熵整理

類似的高頻轉賬記錄，也出現在徐英的賬戶裡。不同于小楊賬本裡清晰的“白條還款”備注，小金庫沒有對徐英的資金轉出作進一步說明，“雖然銀行流水顯示是基金申購，但我在京東也查不到任何購買記錄。”她說。

也有用戶在黑貓投訴上反映，自己的小金庫離奇從銀行賬戶中扣款，但金額并不是白條賬單的數目，且劃款時間也未到白條還款日。

徐英的京東金條被盜後賬戶資金被扣經過，财熵制圖

這令人疑惑：從用戶賬戶中莫名代扣的款項，究竟流向哪裡了呢？

據天眼查，小金庫背後的公司肯特瑞，由京東科技100%全資控股。京東科技在2021年初将京東的AI和雲業務整合之前為京東數科，而京東數科的前身則為京東金融。

工商資料顯示，肯特瑞的經營範圍為“基金銷售”，并注明“不得以公開方式募集資金”。

值得注意的是，這些代扣業務的實現，主要依托于京東旗下唯一擁有第三方支付牌照的網銀在線，其衍生的産品是京東支付。

根據中國人民銀行《非銀行支付機構網絡支付業務管理辦法》第十四條規定，“支付機構應當确保交易信息的真實性、完整性、可追溯性以及在支付全流程中的一緻性，不得篡改或者隐匿交易信息”。在“完整性”和“可追溯性”這兩點上，京東系的網銀在線是否存在隐瞞呢？

黑貓投訴平台上，截至7月6日，網銀在線累計被投訴次數超過500次，多數指向“無故扣費”的問題。公開資料顯示，網銀在線除了服務于京東系的銀行支付流程，還和外部合作公司打通了“代扣通道”。

類似的第三方支付代扣，一直以來都是監管重點。一位銀行業人士對财熵說：“很多第三方支付機構在代收業務操作方面很不規範，甚至存在誘導客戶開通免密支付的情況。一旦客戶開通免密支付，就意味着授權支付公司直接進行相關貸款等業務的支付交易。”

問題是，若用戶信息洩露，支付平台如何保證收到的扣款指令為用戶本人發出？

投訴平台上，就有多個用戶反映，自己的銀行賬戶通過京東支付被盜刷——他們沒有在京東或京東金融APP上進行任何消費，但網銀在線卻擅自從銀行賬戶裡扣款。

更有用戶曝出，一些此前聞所未聞的小貸金融公司，比如北京好還科技、分期樂、錢站等，通過網銀在線（京東支付）将其銀行賬戶的錢卷走。京東金融客服對此的解釋是：“用戶此前簽署了第三方代扣”。但用戶至今沒有找到所謂的代扣協議。

圖源黑貓投訴 财熵整理

究竟京東金融和上述小貸公司有無合作關系？京東支付進行代扣時，如何核實用戶本人和第三方借貸關系的真實性？财熵就代扣亂象緻電京東金融的相關部門，未獲回複。

信息洩露之殇

事實上，京東旗下也有一家小貸公司——重慶京東盛際小額貸款有限公司（下稱“重慶盛際”）。公開信息顯示，在京東白條和金條産品的背後，重慶盛際承擔着貸款人或者貸款服務機構的角色。金條和白條都是消費信貸産品，類似于支付寶的“借呗”和“花呗”。

徐英告訴财熵，她在查詢銀行流水時發現，賬上憑空出現多筆貸款。貸款方除了一些商業銀行，還有重慶盛際，她後來才知道這是金條的貸款。但她表示，自己在海外學習期間，并未使用過京東APP，更别說開通金條貸款了。

另外一位投訴者呂芳（化名）則向财熵反映，兩年前她的京東白條及綁定的銀行卡，在8分鐘之内被盜刷75筆線下支付訂單，至今沒追索回來。她表示自己從未透露過支付密碼，也沒收到過京東任何一條交易驗證碼，且從沒開通免密支付或人臉識别功能。

在用戶不知情的情況下，白條和金條還能被盜刷？

“最可能是信息洩露，被不法分子盜刷貸款額度了。”呂芳說，“而這也說明京東金融内控管理的漏洞。”她曾聯系京東金融客服，對方也将盜刷歸咎為信息洩露後被不法分子利用。

在黑貓投訴上，不少有類似被盜刷遭遇的京東用戶，都提到“信息洩露”的問題。

圖源黑貓投訴

令呂芳感到意外的是，京東金融客服似乎想撇清責任：“因用戶洩露信息導緻的損失，将由其本人承擔，并請按時還款”。

呂芳被盜刷後和京東金融客服的溝通記錄 呂芳供圖

呂芳說，一旦被盜刷的金條或者白條逾期，若用戶此前已授權京東賬戶的代扣支付權限，京東金融可以在沒有用戶授權的情況下，自動扣取用戶的銀行存款，“如果拒絕還款，就等着上征信和接收京東催收團隊的問候吧。”社交平台上，不乏京東用戶投訴白條逾期後，平台暴力催收甚至進行恐吓的情況。

黑貓投訴平台最近對重慶盛際的投訴，全部指向征信記錄的問題——近30日有46條，平均每天達1.5條。不少用戶在查詢征信記錄時，突然發現有來自重慶盛際的貸款記錄，但本人沒有申請也沒有使用過該貸款。用戶要求撤銷這些異常貸款的征信記錄，也有人控訴：“逾期貸款的征信記錄嚴重影響了正常生活、申請房貸和車貸”。

财熵就京東白條盜刷問題緻電京東金融客服，對方以“客戶盜刷信息未經證實”為由，拒絕解釋。

網絡上關于京東金融暴力催收的投訴 圖源黑貓投訴

曾傑律師表示，信息洩露導緻的金融詐騙，用戶取證困難，責任一般很難界定。

早在2017年，就有媒體報道過京東白條的消費貸盜刷問題。當時京東金融将盜刷歸咎于“黑産”（網絡黑色産業鍊）造成的行業性問題，指責欺詐團夥在外部非法獲取用戶賬戶密碼。

遺憾的是，五年後，類似的劇情依然上演。平台似乎沒有從自身找原因。

根據《非銀行支付機構網絡支付業務管理辦法》第二十三條規定，“支付機構采用數字證書、電子簽名作為驗證要素的，數字證書及生成電子簽名的過程應符合《中華人民共和國電子簽名法 》、《金融電子認證規範 》（JR/T 0118-2015）等有關規定，确保數字證書的唯一性、完整性及交易的不可抵賴性。”

“放貸不需要驗證人臉、語音等活體驗證嗎？他們說隻要是我的名字、我的卡就能放貸。”徐英說。财熵也從她提供的電話錄音獲知，雖然京東金融在發放網絡貸款前會進行實名認證，包括姓名、身份證号碼、銀行卡号、手機号碼等，但卻不包括驗證人臉、指紋等重要生物信息。

也有網友将信息洩露的矛頭，指向京東平台的用戶數據共享機制：“京東用戶可以同時登陸京東金融，兩個平台信息相互同步。就是說如果你在這三個任何一個平台登錄過實名制信息，那麼其他兩個平台也會同時登錄實名制信息。”

客服承認京東商城、京東金融和京喜APP的用戶數據通用，圖源網絡

徐英向财熵提到一件小事：她在社交平台上投訴京東金融，下面評論的卻是“重慶盛際客戶服務”，内容和京東金融客服給她的回複一字不差。她懷疑京東金融客服主體其實是重慶盛際，“如果是的話，開通了白條的用戶，數據都會被重慶盛際這個小貸公司獲取。”

天眼查顯示，白條和金條的供款方——重慶盛際是一家純正的京東系公司，88%的股權由京東科技控制，另外12%股權由京東的一家注冊在香港的公司控制。

重慶盛際客服在微博上回應徐英的投訴 徐英供圖

被盜刷的京東白條貸款，以及用戶可能“無意中”開通的代扣支付授權，上演了一場神不知鬼不覺的“合謀”，令那些被不法分子盯上的賬戶資金在暗地裡上演“大挪移”。當中涉及三家公司——肯特瑞、網銀在線和重慶盛際，以及釀成盜刷問題的三個關鍵破綻——第三方代扣業務的授權、用戶的信息安全、貸款業務的審核機制，似乎都和京東金融脫不了幹系。

9年前，陳生強辭去京東集團CFO、接手京東金融時，劉強東向他提出兩個要求：第一，要做這個行業裡最髒、最苦、最累、最難的活；第二，如果有100塊錢可賺，賺70塊就可以了，留下30塊給上遊供應商或者讓利給客戶。

9年後，“開朝元老”陳生強在高層人事震蕩中離職；京東金融獲得雲和AI業務的加持後升級為“京東科技”，并打算赴港IPO，在資本市場大展宏圖。

隻是，京東金融是否還記得初心？

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!