第三方登录：京东回应旗下APP悄悄上传用户WiFi密码
新华网 颜之宏 王炳坤
随着信息社会的高速发展，各类智能设备已经走入寻常百姓家。只需要一款APP，就能够操控家中的智能设备，不可谓不方便。但是，如果有人告诉你，你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中，你所使用的联网智能设备存在被人操控的风险，你是否会担心？你的WiFi密码正被悄然上传8月10日下午，一篇题为《窃隐私，传明文，京东(44.25 -3.59%)劣举挑战网安法》的文章在网上传播，该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患。在该文中，还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实，该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。据团队成员刘晓光（化名）介绍，他们在知乎上留意到相关内容，并于9日晚间和10日上午前后两次进行了安全性测试，结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。记者在“京东微联”APP上调阅了《京东智能云用户使用协议》，第六条载明：“在初次添加某款智能硬件设备的过程中，您需为此设备提供WiFi环境接入所需的SSID以及密码，用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为，他们就上传WiFi密码等信息向用户进行了说明。不过上海一家公司的网络安全专家宋宏宇认为，普通用户在长篇累牍的使用协议中很难找到和读懂这一说明，“提供”与“上传”概念不同，作为一名普通用户无法确切知晓协议中“提供”的具体含义。宋宏宇说，一般而言，用户在上传敏感信息前，系统应进行二次提示和确认，如未加以确认，相当于“悄悄”上传了用户WiFi密码。“京东微联”缺乏这一环节，因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。尽管“京东微联”APP在《用户使用协议》中承诺：“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改，也不会公开、转让、用于其他使用目的。”但网络安全人士认为，用户将WiFi密码等敏感信息上传给服务器，本身就给自身信息安全带来一定隐患。虽然WiFi密码等敏感信息是在HTTPS环境下上传的，外界很难截获，但是这一过程并非没有风险。刘晓光说，一旦被黑客截获，他完全可以进入你的WiFi劫持连接入WiFi的智能设备，“比如这些设备中包含网络摄像头，那么黑客也有机会调阅摄像头所拍摄的画面。”就此问题记者专门函询了北京京东世纪贸易有限公司，京东技术团队回应称，“虽然黑客对HTTPS传输通道的劫持是比较困难的，但微联未来会对敏感信息进行二次加密。”为什么“京东微联”要获取用户的WiFi信息？为验证刘晓光及其技术团队的说法，记者又联系了国内某知名互联网安全企业，对上述过程进行二次验证。在通过多种技术手段验证后，该企业的工程师团队确认，“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。该团队的一名工程师指出，“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的，因为即使是为了将家用智能设备和WiFi进行关联，也仅需要在家庭局域网内进行即可，没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。有业内人士将“京东微联”的行为作了一个比喻：“我请了一个保姆来我家干活，结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙，这样的行为对我自身的安全肯定产生了影响。”据刘晓光的技术团队介绍，除“京东微联”APP外，他们还测试了几款智能设备的操控软件，均没有发现将用户WiFi密码上传的行为。记者为此向京东公司求证，对方认为，将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称：“京东微联”真正做到了跨品牌、跨品类智能设备的连接，为用户提供了良好的使用体验；相比之下，其他系统很可能只能操作单一的智能硬件，因此无需上传WiFi密码，“拿两者做比较是不恰当的。”事实上，“京东微联”已改变这种配网方式。京东公司在函询中称，他们自2016年下半年开始自研配网方案，该方案仅需在家庭局域网内就能关联智能设备，无须再将WiFi信息发送至云端。此外京东方面还表示，他们将尽快完成系统升级，争取实现全部设备的本地配网。采访中京东公司并未明确，2016年下半年以后，是出厂的智能设备无需上传WiFi密码，还是该款软件不再上传WiFi密码。在记者采访调查期间，两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试，发现“京东微联”APP在连接部分智能设备时，仍然存在上传WiFi信息的情况。“京东微联”如此操作，还是令人费解。专家观点：互联网企业应更好履行网络安全义务前不久，浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件，犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP，并将摄像头所拍摄的内容在网上兜售。此案一出，舆论再次将视线聚焦到公民的信息安全上来。在此之前，“WiFi万能钥匙”擅自上传用户WiFi密码的做法，已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件，也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为，该行为涉嫌侵犯个人的私密领域，侵害个人隐私权，存在一定的安全隐患，有必要引起用户注意。根据日起施行的《中华人民共和国网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为，即使企业提供的软件是免费的，其仍应该遵循商业伦理，并采取二次提示等方式，明确向用户告知上传敏感信息的行为，由用户决定是否继续使用该软件。杨建华表示，有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务，依法依规保障用户和消费者的知情权，对于存在技术缺陷和安全隐患的产品，理应召回或改进。目前，“京东微联”正在为消除用户顾虑而进行技术方案调整升级。京东回应不会泄漏用户信息针对此报道，京东微联声明，对于2016年下半年前的智能设备，为了保证无线网配网的统一性，微联会通过HTTPS安全协议上传WiFi信息，只进行必要的设备配网技术流程，不会在云端保存;2016年下半年后的设备不存在数据上传情况;无论新老设备，通过微联实现互联互通都不会导致用户信息泄露，请用户放心。
正文已结束，您可以按alt+4进行评论
看过本文的人还看了
读完这篇文章后，您心情如何？
[责任编辑：wyphoenixhong]
热门搜索：
孩子是坠入凡间的天使
Copyright & 1998 - 2018 Tencent. All Rights Reserved查看: 3140|回复: 8
帖子精华0昵称澳尔特莱分享阅读权限20听众数收听数注册时间最后登录
专员, 积分 41, 距离下一级还需 9 积分
当前用户组为 专员当前积分为 41, 升到下一级还需要 9 点。
该用户从未签到店铺澳尔特莱旗舰店威望0
1剩余:1 钢镚
京东的子账号是不是没有修改密码的功能啊？可以修改的话怎么修改的？只能禁用不能修改密码。
帖子精华0昵称楠楠的天空分享阅读权限25听众数收听数注册时间最后登录
高级专员, 积分 59, 距离下一级还需 21 积分
当前用户组为 高级专员当前积分为 59, 升到下一级还需要 21 点。
TA的每日心情开心 09:00签到天数: 3 天[LV.2]偶尔看看I店铺小霸王官方旗舰店威望0
不可以吧，所有权限都是主号给的&&所以子账号要管好呢
帖子精华0昵称大大分享阅读权限100听众数收听数注册时间最后登录
当前用户组为 版主当前积分为 2321, 该用户为特殊用户。
TA的每日心情开心 14:31签到天数: 311 天[LV.8]以坛为家I店铺Aka cayton服饰旗舰店威望314
可以修改 和其他普通账户一样修改&&进入我的订单 账户安全里面修改 密码
--------------------------------------------------------------------------------------------------------------------
帖子精华0昵称时竟分享阅读权限40听众数收听数注册时间最后登录
主管, 积分 142, 距离下一级还需 28 积分
当前用户组为 主管当前积分为 142, 升到下一级还需要 28 点。
该用户从未签到店铺时竟官方旗舰店威望9
可以修改 和其他普通账户一样修改&&进入我的订单 账户安全里面修改 密码
帖子精华0昵称BRTC分享阅读权限50听众数收听数注册时间最后登录
高级主管, 积分 207, 距离下一级还需 53 积分
当前用户组为 高级主管当前积分为 207, 升到下一级还需要 53 点。
TA的每日心情擦汗 12:11签到天数: 31 天[LV.5]常住居民I店铺BRTC旗舰店威望4
不晓得呢，第一次设置好了，后面干嘛要修改的呢
帖子精华0昵称特福芬旗舰店分享阅读权限70听众数收听数注册时间最后登录
经理, 积分 468, 距离下一级还需 132 积分
当前用户组为 经理当前积分为 468, 升到下一级还需要 132 点。
TA的每日心情开心 09:54签到天数: 34 天[LV.5]常住居民I店铺topfer旗舰店威望0
忘记了MM。。所以要修改。。或者员工走了~需要修改MM··
帖子精华0昵称god_is_shit分享阅读权限15听众数收听数注册时间最后登录
助理, 积分 15, 距离下一级还需 15 积分
当前用户组为 助理当前积分为 15, 升到下一级还需要 15 点。
TA的每日心情衰 10:51签到天数: 3 天[LV.2]偶尔看看I店铺测试威望0
子账号登陆&&京东网站&&在我的京东里面&&修改密码即可
帖子精华0昵称老才臣分享阅读权限50听众数收听数注册时间最后登录
高级主管, 积分 174, 距离下一级还需 86 积分
当前用户组为 高级主管当前积分为 174, 升到下一级还需要 86 点。
TA的每日心情开心 10:59签到天数: 40 天[LV.5]常住居民I店铺老才臣食品旗舰店威望0
可以修改 和其他普通账户一样修改&&进入我的订单 账户安全里面修改 密码
帖子精华0昵称花朵的日记分享阅读权限100听众数收听数注册时间最后登录
当前用户组为 版主当前积分为 613, 该用户为特殊用户。
TA的每日心情无聊 11:33签到天数: 94 天[LV.6]常住居民II店铺姿艾妮威望5
可以修改 和其他普通账户一样修改&&进入我的订单 账户安全里面修改 密码
要看大家的手气了哦，只要10京币就可以抽奖！新华社调查：京东旗下一款APP擅自上传用户WiFi密码 _ 东方财富网
新华社调查：京东旗下一款APP擅自上传用户WiFi密码
东方财富APP
方便，快捷
手机查看财经快讯
专业，丰富
一手掌握市场脉搏
手机上阅读文章
【新华社调查：京东旗下一款APP擅自上传用户WiFi密码】近日，一篇题为《窃隐私，传明文，京东劣举挑战网安法》的文章在网上传播，该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患。记者联系了国内某知名互联网安全企业，进行二次验证。在通过多种技术手段验证后，该企业的工程师团队确认，“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。（新华社）
　　随着信息社会的高速发展，各类智能设备已经走入寻常百姓家。只需要一款APP，就能够操控家中的智能设备，不可谓不方便。　　但是，如果有人告诉你，你正在使用的这款APP会将你家的WiFi密码上传到对方的服务器中，你所使用的联网智能设备存在被人操控的风险，你是否会担心　　1、你的WiFi密码正被悄然上传　　8月10日下午，一篇题为《窃隐私，传明文，劣举挑战网安法》的文章在网上传播，该文直指京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患。　　在该文中，还附带有对“京东微联”APP连接WiFi时的专业数据测试视频和截图。经记者核实，该文出自名为“嘶吼网”的网络安全媒体的技术团队之手。　　据团队成员刘晓光(化名)介绍，他们在知乎上留意到相关内容，并于9日晚间和10日上午前后两次进行了安全性测试，结果显示该APP确实存在向京东服务器上传用户WiFi密码的行为。　　记者在“京东微联”APP上调阅了《京东智能云用户使用协议》，第六条载明：“在初次添加某款智能硬件设备的过程中，您需为此设备提供WiFi环境接入所需的SSID以及密码，用于智能硬件设备和WiFi环境的一键配置。”京东公司据此认为，他们就上传WiFi密码等信息向用户进行了说明。　　不过上海一家公司的网络安全专家宋宏宇认为，　　普通用户在长篇累牍的使用协议中很难找到和读懂这一说明，“提供”与“上传”概念不同，作为一名普通用户无法确切知晓协议中“提供”的具体含义。　　一般而言，用户在上传敏感信息前，系统应进行二次提示和确认，如未加以确认，相当于“悄悄”上传了用户WiFi密码。　　“京东微联”缺乏这一环节，因此WiFi密码被上传一事绝大多数用户很可能是毫不知情的。　　尽管“京东微联”APP在《用户使用协议》中承诺：“不会对原始信息以及映射处理后的信息进行任何远端的存储或修改，也不会公开、转让、用于其他使用目的。”但网络安全人士认为，用户将WiFi密码等敏感信息上传给服务器，本身就给自身信息安全带来一定隐患。　　虽然WiFi密码等敏感信息是在HTTPS环境下上传的，外界很难截获，但是这一过程并非没有风险。刘晓光说，一旦被黑客截获，他完全可以进入你的WiFi劫持连接入WiFi的智能设备，“比如这些设备中包含网络摄像头，那么黑客也有机会调阅摄像头所拍摄的画面。”　　就此问题记者专门函询了北京京东世纪贸易有限公司，京东技术团队回应称，“虽然黑客对HTTPS传输通道的劫持是比较困难的，但微联未来会对敏感信息进行二次加密。”　　2、为什么“京东微联”要获取用户的WiFi信息？　　为验证刘晓光及其技术团队的说法，记者又联系了国内某知名互联网安全企业，对上述过程进行二次验证。在通过多种技术手段验证后，该企业的工程师团队确认，“京东微联”确实存在向京东服务器上传用户WiFi密码的行为。　　该团队的一名工程师指出，“将用户的WiFi密码上传至自己的服务器”这一步骤完全是“多余”的，因为即使是为了将家用智能设备和WiFi进行关联，也仅需要在家庭局域网内进行即可，没必要“多此一举”将用户的WiFi密码上传至云端。“京东微联”如此操作令人费解。　　有业内人士将“京东微联”的行为作了一个比喻：“我请了一个保姆来我家干活，结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙，这样的行为对我自身的安全肯定产生了影响。”　　据刘晓光的技术团队介绍，除“京东微联”APP外，他们还测试了几款智能设备的操控软件，均没有发现将用户WiFi密码上传的行为。　　记者为此向京东公司求证，对方认为，将用户WiFi信息上传至云端仅是出于配网的技术需要。京东方面的技术人员回应称：“京东微联”真正做到了跨品牌、跨品类智能设备的连接，为用户提供了良好的使用体验；相比之下，其他系统很可能只能操作单一的智能硬件，因此无需上传WiFi密码，“拿两者做比较是不恰当的。”　　事实上，“京东微联”已改变这种配网方式。京东公司在函询中称，他们自2016年下半年开始自研配网方案，该方案仅需在家庭局域网内就能关联智能设备，无须再将WiFi信息发送至云端。此外京东方面还表示，他们将尽快完成系统升级，争取实现全部设备的本地配网。　　采访中京东公司并未明确，2016年下半年以后，是出厂的智能设备无需上传WiFi密码，还是该款软件不再上传WiFi密码。在记者采访调查期间，两支网络安全工程师团队随机选择了多款不同时期出厂的智能硬件设备进行测试，发现“京东微联”APP在连接部分智能设备时，仍然存在上传WiFi信息的情况。　　3、专家观点：互联网企业应更好履行网络安全义务　　前不久，浙江省公安部门破获了一起非法入侵居民“家庭摄像头”的案件，犯罪嫌疑人通过技术手段入侵了近万个家庭摄像头IP，并将摄像头所拍摄的内容在网上兜售。此案一出，舆论再次将视线聚焦到公民的信息安全上来。　　在此之前，“WiFi万能钥匙”擅自上传用户WiFi密码的做法，已饱受媒体和公众质疑。而此次京东擅自上传用户WiFi密码的事件，也引起了法律界和社会学界的专家关注。福建瀛坤律师事务所张翼腾律师认为，该行为涉嫌侵犯个人的私密领域，侵害个人隐私权，存在一定的安全隐患，有必要引起用户注意。　　根据日起施行的《中华人民共和国网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”　　浙江省人民政府咨询委员会委员、浙江省社会学学会会长杨建华则认为，即使企业提供的软件是免费的，其仍应该遵循商业伦理，并采取二次提示等方式，明确向用户告知上传敏感信息的行为，由用户决定是否继续使用该软件。　　杨建华表示，有关互联网企业应该履行与其影响力相匹配的社会责任及网络安全义务，依法依规保障用户和消费者的知情权，对于存在技术缺陷和安全隐患的产品，理应召回或改进。　　目前，“京东微联”正在为消除用户顾虑而进行技术方案调整升级。
(原标题：警惕！京东这款APP悄悄上传你的WiFi密码，绝大多数人不知道)
(责任编辑：DF353)
其他网友关注的新闻
[热门]&&&[关注]&&&
请下载东方财富产品，查看实时行情和更多数据
郑重声明：东方财富网发布此信息目的在于传播更多信息，与本网站立场无关。东方财富网不保证该信息（包括但不限于文字、数据及图表）全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实，不对您构成任何投资建议，据此操作，风险自担。
扫一扫下载APP
东方财富产品
关注东方财富
扫一扫下载APP
关注天天基金有帐号和密码的一般是京东卡或者京东E卡，使用的方法是：
先与自己的京东帐户绑定，京东卡绑定后就只能在绑定的帐户使用了，不用担心给别人盗用了。登陆进入我的京东，选择京东卡/E卡，如下图；
输入京东卡或E卡的密码和验证码，然后绑定，如下图；
选择已绑定京东卡明细或者已绑定京东E卡明细就可以看到已经绑定的京东卡/E卡的状态了，如下图；
在京东购物付款的时候就可以选择已经绑定的京东卡/E卡了，东京卡余额会抵扣订单的货款。如下图；
如果京东卡/E卡还没有与帐户绑定，那系付款的时候就要手动输入京东卡/E卡密码了，如下图；
一个订单也是可以使用多张京东卡的，特别注意的是京东卡是有有限期的，不要过期浪费了。}