V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xy2020
V2EX  ›  京东

续 1:京东,账户出现非本人操作订单并付款,客服要求报案—— 照片及电话录音

  •  
  •   xy2020 · 2020-07-01 01:21:39 +08:00 · 5145 次点击
    这是一个创建于 1636 天前的主题,其中的信息可能已经有所发展或是发生改变。
    原帖 https://www.v2ex.com/t/683913

    鉴于原帖已经被移入水深火热,部分人可能看不到,我就重复一下背景:
    6 月 21 日,我正在高速上开车时,收到银行通知,说扣了一笔 150 多的京东订单款
    心中顿时起疑:是谁替我下了订单、并且付了款?
    我的京东账户,除了我本人外,从未给过他人操作
    更不要说告诉别人我的支付密码了
    回到家中查看京东账户,订单已经出库
    于是急忙提交了退款申请,然后联系了在线客服
    在线客服先是说这个订单是朋友送我的东西
    我问:在我账户中、用我的信用卡付款,怎么会是朋友送我?
    客服改口说,是我自己“小额免密”支付了
    于是我截了图给他看,我根本没有启用这个功能
    结果客服除了咬定京东平台是安全的,再没有其它说明了
    于是我要求京东 24 小时内查明:1 、订单是谁下的; 2 、是谁支付的。
    再次联系在线客服,在线客服除了咬定京东平台是不会替我下单支付的外,就是建议我报案。



    以下是本次新补充内容:



    订单截图,请注意 [下单时间] 和 [支付时间] ,仅仅间隔 1 秒!
    试问,谁能在这么短时间内完成下单并完成付款?





    代下单列表为空,也就是不是系统代下单,客户电话中也承认是普通订单,并非代下订单。





    到家后就立即取消了,但取消失败。





    到家后就立即向客服反馈了






    我的账户信息,请注意我的账户名称,用的是京东默认的,就因为这个复杂





    我没有开通 [免密支付] 功能





    京东商城 331239 号 客服 2020 年 0 6 月 2 4 日 1 4 点 4 6 分 来电录音
    希望听录音的,请下载: https://wws.lanzous.com/iesNbe6y8bi

    以下是文字版。请注意,客服在电话中确认了几项问题:
    a 、我的账号没有异常信息;
    b 、我没有开通免密支付;
    c 、异常订单不是代下单;
    d 、京东只有 [免密支付] 功能可以跳过用户输入支付密码;
    e 、下单时间和支付时间仅仅相差 1 秒;
    f 、下单 IP 是 10.189.8.39 (局域网 IP 地址)










    截止到今天 0701,京东没有人再联系我处理此事
    派出所目前还未回应是否立案,后续有进度,我会发布新的续贴
    如果有 V 友有类似遭遇,请跟帖留言
    如果有 V 友有能力联系刘强东,或媒体,或上热搜,请跟帖留言

    声明:
    1 、我写出此事,并不是想引导大家相信什么。我相信每个人有自己的判断标准和逻辑。
    2 、我不想和谁就此事争论什么,我更希望京东能查清楚。如果京东不愿意主动查,我希望有外力能帮助它。
    3 、这件事,金额和收货人并不重要,重要的是,谁掌握这样的能力 —— 如果某些人只是初步尝试,下一步,他们可能会伤害更多的人。
    第 1 条附言  ·  2020-07-01 14:15:43 +08:00
    .



    强调一下:
    我认为这件事应该分 2 个问题
    a,怎么下的单?
    b,怎么支付的?
    而这 2 个问题中,性质最重要的是第二个:怎么支付的?

    因为京东除了小额免密功能外,都需要用户自己输入支付密码。
    而我并没有开通小额免密功能,同时从下单后 1 秒就完成支付来看,也不可能是我手工支付的。

    很多人推测认为是京东的系统下单并支付的,所以才能在下单后 1 秒、在没有支付密码的情况下完成。这应该是目前唯一的可能了。尤其加上下单 IP 是局域网 IP (支付 IP 京东拒绝提供)。



    但如果真是这样,那么就有问题了————京东的系统还可信吗?
    虽然京东客服一再强调系统没问题,可并不能解释这个订单。虽然客服一再保证安全,可没有任何凭证。
    第 2 条附言  ·  2020-07-01 14:26:14 +08:00
    假设:这是一个新漏洞
    那么为什么会是我自己的收货信息也很容易解释了:

    一来容易被大家认为是我自己下的自己忘记了、甚至有可能我自己也这么认为,不容易引起关注;
    二是可能销毁订单记录的漏洞还没有完全掌握,所以没法下单送货给自己,否则会被发现个追踪。
    43 条回复    2020-07-01 20:19:27 +08:00
    xy2020
        1
    xy2020  
    OP
       2020-07-01 01:29:27 +08:00
    1 、下单后 1 秒完成支付;
    2 、下单地址是局域网地址;
    3 、下单时、支付时,我正在高速上开车;
    4 、我的支付密码,没有任何第三人知道;
    5 、我没有开启过代下订单和小额免密功能;
    yuzo555
        2
    yuzo555  
       2020-07-01 01:30:06 +08:00
    看时间点、IP,像是自动操作下的单,估计是类似自动购买之类的功能。
    楼主现在截图的代下单列表,根本不能说明什么,正常逻辑本来就是如果代下单成功,代下单列表肯定就没这笔了。。
    这是分析。
    但具体是谁操作的自动购买,可能有疑问:

    1. 可能是楼主误操作忘记了;
    2. 或者是京东后台系统错误导致误下单;
    3. 也可能是第三方 APP 的原因。(从内网 IP 来看,这点可能不大)

    京东客服我认为他也不懂这个事情,连个内网 IP 都看不出来,我感觉他们的工作只是安抚顾客,并不是严谨对质...
    xy2020
        3
    xy2020  
    OP
       2020-07-01 01:31:58 +08:00
    @yuzo555

    1 、系统代下单功能,也需要用户自己支付,除非用户开了小额免密功能;
    2 、客服确认过,我这个不是代下单
    xy2020
        4
    xy2020  
    OP
       2020-07-01 01:37:28 +08:00
    无论是谁下的订单
    客服已经确认过,京东只有 [小额免密] 功能可以跳过用户输入支付密码
    同时也确认过,我没有启用 [小额免密] 功能
    这个订单,是如何在我开车时、在下单后 1 秒就被支付的呢?

    这个,才是最重要的核心。
    mynameisz
        5
    mynameisz  
       2020-07-01 07:38:47 +08:00 via iPhone
    吃个瓜好了
    hand515
        6
    hand515  
       2020-07-01 08:52:51 +08:00
    我试过收到过京东两次的异常订单邮件,还好的是没有经济上的损失,找客服也说没问题。


    yanzuwu
        7
    yanzuwu  
       2020-07-01 09:18:47 +08:00
    我遇到过类似,被下了好多单,全部都是到货付款,我只损失了一些优惠券。
    跟京东 PLUS 客服投诉,反馈说账号被盗用,然后我在手机端和网页端都查询了登录记录,没有其他人且没有异常。
    然后客服又推脱说系统异常等等,投诉了约一周最后不了了之。
    也拿京东没有任何办法,只能去他妈的 PLUS 会员吧,不续了。
    而且大部分订单我在手机上都看不到,最后登录网页端才发现订单都被删除了。
    ylsc633
        8
    ylsc633  
       2020-07-01 09:31:46 +08:00
    难道是 线上压测, 出了 bug? 哈哈哈哈
    Felldeadbird
        9
    Felldeadbird  
       2020-07-01 09:52:15 +08:00
    有一个可能是窜号了。不排除这种低几率事情
    xy2020
        10
    xy2020  
    OP
       2020-07-01 11:10:13 +08:00 via Android
    @hand515
    @yanzuwu

    感谢信息!
    xy2020
        11
    xy2020  
    OP
       2020-07-01 11:10:57 +08:00 via Android
    @ylsc633
    @Felldeadbird

    不猜测原因,只希望京东来排查。
    vone
        12
    vone  
       2020-07-01 11:12:42 +08:00
    App 下单的话可以在账户安全->设备管理里面看下最近登录的设备。
    kuzhan
        13
    kuzhan  
       2020-07-01 11:37:59 +08:00
    局域网 局域网 局域网 京东内部的锅 不是已经很明确了吗?
    xy2020
        14
    xy2020  
    OP
       2020-07-01 12:11:16 +08:00 via Android
    @vone 看过了,是正常的,除非对方用和我一样的手机


    @kuzha 这个是下单 IP,还不够。重要的是支付 IP,可惜京东不提供。什么原因,我就不清楚了。
    imn1
        15
    imn1  
       2020-07-01 12:20:56 +08:00
    1 、下单后 1 秒完成支付;

    鉴于这一条,基本上是自动,人手操作难以想象 1 秒
    不过是谁下单就说不清了
    dariner
        16
    dariner  
       2020-07-01 12:23:53 +08:00
    我建议你修改密码。不用再追查这个事情了,因为客服根本给不了什么信息 只能靠你去找,而且你这样 后面账户会黑的
    xy2020
        17
    xy2020  
    OP
       2020-07-01 12:36:04 +08:00 via Android
    @imn1 是的,程序员们都清楚这个意思。所以,这才是最令我担心的地方。谁下单反而不是最关键的。


    @dariner 没关系,我和京东的故事太多了。多谢提醒!
    ifxo
        18
    ifxo  
       2020-07-01 12:38:19 +08:00
    客服只是例行公事,全世界客服都这样,最底层最没话语权的人,客服说了算还是东哥说了算?咋能把她们的话当圣旨呢,你天天揪着人家不放有毛用。你这种情况就改改密码,两步验证有吗,开通了就行了,微信登过吗,也可能是手机微信中毒了,总之肯定是你自己的问题,发再多也没用的,浪费时间
    woodensail
        19
    woodensail  
       2020-07-01 12:46:49 +08:00   ❤️ 1
    @ifxo 这种情况改密码和两步验证都没用。代下单先不提,就 1 秒完成支付这一点来看,jd 那边的事故导致了用户在没开免密支付的情况下,京东那边却进行了自动支付。很明显是走的内部调用,你在用户层面做再多安全措施也没用。

    比较有用的方式是停用京东支付,改用微信支付等第三方支付。这样就算 jd 就算有再大的本身,也没法绕过其他平台的安全措施来自动支付。
    xy2020
        20
    xy2020  
    OP
       2020-07-01 12:48:54 +08:00 via Android
    @ifxo 客服是不是例行公事我管不了,这是京东提供给客户的唯一窗口,我只能找他们。当然,如果你能提供刘强东的直接联系方式,我当然愿意直接找他。以前我倒是有 LDX 的联系方式,只是很多年不联系了。
    xy2020
        21
    xy2020  
    OP
       2020-07-01 12:57:19 +08:00 via Android
    @woodensail 是的,可惜很多人看不到这一点。
    putaozhenhaochi
        22
    putaozhenhaochi  
       2020-07-01 13:06:10 +08:00 via Android
    精神支持楼主。
    我们每个人应该有这种必须把事情搞清楚的精神。
    Cipool
        23
    Cipool  
       2020-07-01 13:16:41 +08:00 via Android
    看楼主态度如此坚定,如果京东不肯处理,去北京 12315 投诉试试,如果还不行,去北京互联网法院直接起诉。
    ShuoHui
        24
    ShuoHui  
       2020-07-01 13:18:52 +08:00 via iPhone
    已收藏,持续关注
    iyaozhen
        25
    iyaozhen  
       2020-07-01 13:21:41 +08:00
    从系统开发上来说 串号(订单)来说还是有可能的。
    但 JD 这个处理有点迷,这种问题不是应该高优处理嘛。或者问题并没有到核心开发团队、或者确实有 bug,不愿承认(因为个案问题一般不算作线上问题)
    lzhnull
        26
    lzhnull  
       2020-07-01 13:37:21 +08:00 via Android
    查一下,是不是用了自动下单功能,也就是到货自动下单。我之前遇到过,后来发现是抢口罩的时候不小心设置了。点击了不相关的产品。也用了自动下单。
    kkk123
        27
    kkk123  
       2020-07-01 13:42:42 +08:00
    12315 就一复读机,没什么用的
    Egfly
        28
    Egfly  
       2020-07-01 13:45:49 +08:00
    12315 不敢恭维,打过几次电话都是没后续
    mrcn
        29
    mrcn  
       2020-07-01 14:03:07 +08:00 via Android
    这个 ip 和这个时间差,是 jd 的程序自动操作的无疑了。
    xy2020
        30
    xy2020  
    OP
       2020-07-01 14:03:45 +08:00 via Android
    @putaozhenhaochi 多谢支持!

    @Cipool 多谢!法院还用不到,关键是警察要立案。

    @ShuoHui 感谢关注。

    @iyaozhen 不猜测京东的意图,我只希望他们查明。


    @lzhnull 见 3 楼,多谢!


    @kkk123
    @Egfly
    多年前我曾经去北京工商局现场投诉,也是不行。
    xy2020
        31
    xy2020  
    OP
       2020-07-01 14:04:57 +08:00 via Android
    @mrcn 很多人这么推测的。只是,这是京东的 BUG,还是被人利用了,就不得而知了。
    mrcn
        32
    mrcn  
       2020-07-01 14:14:28 +08:00 via Android
    @xy2020 #30 被利用还是不至于,东西不是寄到你自己那里了吗,这么做等于是替京东刷单,攻击者得不到利益啊。更多估计是京东的程序出问题了,可以要求他们赔偿点什么。怕的话取消京东支付在银行的签约就好了。
    xy2020
        33
    xy2020  
    OP
       2020-07-01 14:22:17 +08:00 via Android
    @mrcn 京东自己没有刷单的必要吧。我更担心的是,这是一个新漏洞,利用的人也只是初步验证而已。为什么会是我的收货信息也很容易理解,因为一来容易被大家认为是我自己下的自己忘记了、甚至有可能我自己也这么认为,不容易引起关注;二是可能销毁订单记录的漏洞他还没有完全掌握,所以没法下单送货给自己。
    kkk123
        34
    kkk123  
       2020-07-01 14:46:15 +08:00
    说不定又是一个复制生产数据做测试搞出来的,或者生产、测试环境没做隔离
    woodensail
        35
    woodensail  
       2020-07-01 15:01:08 +08:00
    @iyaozhen 肯定不可能承认的啊,内部估计会处罚,但是对外不能松口,一送口就会被人攻击到死。
    futou
        36
    futou  
       2020-07-01 15:01:33 +08:00
    你电话要求升级处理,预约专员 /专家回电。你只需要让专员解释两点:1 秒支付和下单 ip 。解释不了你就去工信部 /12315 投诉京东系统出现问题却不配合调查解决。
    GM
        37
    GM  
       2020-07-01 15:12:30 +08:00
    @xy2020 不好意思,我追问到这里了:可以解释出了什么状况以至于我要到现场才能感受原因了吗?
    ccoming
        38
    ccoming  
       2020-07-01 15:23:41 +08:00
    我做电商的,告诉你:在线客服大多没用的,有答复记录就行,大概率不会回访的。
    建议:换个安卓手机,开通话录音,然后找京东的电话客服,开口就问工号,反馈情况后说明一定要登记上工单,*天内要求得到回复。
    这样,他们找不到原因,也必定会回电话你。
    sigone
        39
    sigone  
       2020-07-01 15:23:49 +08:00 via Android
    京东将账户中的几十块余额偷偷的移入了小金库,一年多以后机缘巧合下我才发现的。 我就根本没有开过小金库的功能,这群王八蛋。
    xy2020
        40
    xy2020  
    OP
       2020-07-01 15:39:24 +08:00 via Android
    @kkk123 这个就看京东要不要去查明了

    @woodensail 遮遮掩掩更不好


    @futou
    @ccoming
    多谢二位提示,我去试试


    @sigone 还有这种操作?幸好我没有余额
    xy2020
        41
    xy2020  
    OP
       2020-07-01 17:22:11 +08:00
    派出所刚刚来电话,约明天上午去现场沟通确认
    希望能立案
    但听警官的语气,可能不能如愿
    heimirror
        42
    heimirror  
       2020-07-01 17:29:52 +08:00
    可能是京东内部人员测试系统,不小心弄到真实环境了
    xy2020
        43
    xy2020  
    OP
       2020-07-01 20:19:27 +08:00 via Android
    @heimirror 这……权限是不是可怕?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2881 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 14:28 · PVG 22:28 · LAX 06:28 · JFK 09:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.