V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

V2EX 提问指南

这是一个创建于 2960 天前的主题，其中的信息可能已经有所发展或是发生改变。

首先这个问题挺困扰的，已经困扰一大批受害用户，我们先从苏宁存在的漏洞出发，希望大家各持己见，来看看这个问题，以及为什么这么严重的事情，为什么除了乌云以及搞安全的人知道，无论维权人事怎么推动，社会的人却知之甚少。

苏宁的各种低级安全漏洞层出不穷:

我相信只要稍微关注互联网安全的人，都有所了解，我就只列举一二比较有权威支持的。

1. 苏宁用户信息泄露漏洞被证实

该问题拓展另外的泄漏: 苏宁易付宝钱包 IOS 客户端存在账户越权可泄漏任意用户姓名 /银行卡号 /手机号等

因为这种受骗的，我们已经不再提及，因为整个互联网界，只要稍动手脚，要获得用户信息台阶很低，我相信除去苏宁以外所有公司都有可能有类似的问题，因为漏洞是永远存在的，只是是否足够复杂，足够隐蔽。完全是用户智商判断能力，决定是否受骗。

2. 如何看待苏宁易购 APP 源码泄露？、苏宁易购 Android 客户端用户已进入裸奔状态，可泄露“内裤”

我目前是 Android 开发，看到这些我实在是无言以对。

这些直接通过抓包，所有信息都是明文，并且可以随意篡改，用户根本在不知不觉中就可以被盗取资金（相关说明直接看上面乌云的链接吧），我甚至可以用业余的 OpenWrt 简单搞个路由器，直接搞个脚本抓包篡改，用户资金安全淡然无存。请注意这是一款交易平台 App

其实遇到问题不可怕，可怕的是在出现问题了，不知道问题的严重性，根据乌云中的流程状态，苏宁对安全实在是不重视。

苏宁易购还有各种低级漏洞，这里就一一报了，2016 年刚过去 3 个月，苏宁易购在乌云上被爆的已经多达 20 个: WooYun-苏宁易购厂家信息

今天要提的不是上面已经爆出了的漏洞，而是我昨天刚刚同步给乌云工作人员的新的爆出来的安全风控漏洞 (报漏洞的群无法证明是乌云，贴了这个图，相信参加了 2015 年乌云大会的朋友都有在这个群里）:

这个问题的重点:

这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况
苏宁对待这个漏洞导致的受害用户的处理方法

这个漏洞是什么

任性宝的类似的漏洞，有兴趣的朋友可以到知乎看: 苏宁易购账户可能已被泄露，在我没做任何操作的情况下被开通了任性付，盗刷了 4472 元，我该如何维权？

苏宁易付宝的这个漏洞我在知乎这篇文章有详细的阐述，并且有各类举证，我自己是受害者之一，这里就不描述过程，要看过程与举证的，可以看这里: 苏宁这么一家没有责任感，并且视用户资金安全为草菅的公司，为何估价还能蹭蹭上涨？

苏宁易购在绑定了快捷支付的情况下，还允许通过一个陌生人认证、快捷支付绑定手机号码对应不上的易支付账户绑定
在这种情况下（我也没有被通知并未知苏宁易购可以未验证扣款的，支付宝与京东是需要的），苏宁的扣款没有任何验证短信信息

这个漏洞导致每天都有像我这样的人莫名其妙的中招了。并且偷盗者的信息(绑定手机、身份证认证、提现记录等)苏宁全都有，提现记录苏宁都有，最后就是不承认，就是刁难受害用户

今天我被拉进了几个群，都是被这些漏洞坑，维权无门的。

接下来是重点

1. 这个漏洞导致用户资金损失到目前苏宁对这个漏洞的修复情况

这个漏洞从苏宁信息泄漏案件之后(2015 年 12 月)开始，就逐渐暴露出来，每天都有新用户因为这些漏洞资金上被盗走。而苏宁至今为对该漏洞进行修复。（他们可能把心思放到了公关，而对于安全这块非常不重视）注意现在依然存在!

2. 苏宁对待这个漏洞导致的受害用户的处理方法

苏宁对待这个漏洞导致的问题，对于用户是非常刁难，而且这个刁难是递进的，之所以是递进的，苏宁在刚开始给用户发的邮件是这样子的:

P.S: 可以通过下面的链接直接看知乎上的原文。

尊敬的客户，您好！
请按邮件要求提供
1.《本人声明》：须真实准确的将事实经过表述完整，同时本人须亲笔签名并对声明真实性负责，具体模板可参见附件；
2.报案回执或其替代性文件，其中替代性文件须包括但不限于以下要素：公安机关公章、报案人、报案时间、报案地点、报案事由、接待警察联系方式，具体替代性文件种类包括但不限于报案笔录、接处警登记表等；
3.上述两份文件材料可以照片或扫描件形式，作为附件回复至该邮箱；
4.我司接到相关材料后，会由专人尽快审核并回复您。
苏宁消费金融公司
风险管理部

作者：师力
链接： https://www.zhihu.com/question/38280719/answer/80876194
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

到我遇到的那时候，不断联系以后，一天过后慢悠悠的给过来百般刁难的邮件信息: