因为京东信息泄露，35岁的消费者王珂（化名）因为一个袜子订单，被盗刷走了13万元。

而更为蹊跷的是，在京东客服以“撞库”为理由回复王珂后没过几天，两位记者再次遭遇信息泄露骗局。一个购物后被骗8万，一个被锁定了京东账号。

调查发现，今年5月以来，已有数十起类似的骗局发生，且受害者账户都有异地同时登陆的情况。

如此之多的骗局，不仅让人质疑：京东购物为何如此危险？

买双袜子被骗13万

今年3月份，王珂在京东商城俞兆林官方旗舰单购买了一双22元的袜子。5月18下午6时许，他接到一个手机来电，对方自称是京东商城“俞兆林官方旗舰店”的客服人员。由于对方对王珂的账户信息和购买记录了若指掌，致使他对“客服”的身份深信不疑。

“客服”在报出了王珂的京东账号以及近期购买订单内容和金额情况后，向王珂称，“因京东系统更新造成商家未能正常收款，导致商家保证金无法退回，要求客户本人退换商品协助处理。”

据王珂回忆，他是通过点击京东官网上的“京友邦”进入的钓鱼网站，在将银行卡等信息告知对方后，卡上13万元就此不翼而飞。

王珂告诉记者，他向自己所在地的京东分部反馈了账号被泄露的情况，相关工作人员称，警方既然已经立案，公司就只能根据警方调查的结果以及法律机构最终裁定的责任划分，来判断是否要承担责任。

“我是京东商城的钻石用户，这次被骗也是由于充分相信京东会有效地保护用户的个人信息。经过这次事件，以后不敢在京东买东西了。”王珂表示。

泄露事件遍布全国

记者经过调查了解到，王珂的遭遇并不是个案，近期以同样招数被骗的京东用户还有数十位，且这一数字还在不断上升中。

记者加入王珂所在的“京东退单盗刷维权群”后发现，受害者都集中在5月份被骗子盗取账号并登陆，修改了近期订单信息，再被骗子以商城客服的名义打电话进行退换货的操作。 这批受害者来自全国各地，如深圳、武汉、乌鲁木齐等，受骗金额从几千到十几万元不等。

除了气愤，受害者们表现得更多的是对京东官方回应的失望。

一位群成员表示，京东客服接到投诉后只是声称不会泄露用户个人信息，目前公司只能等待法律机构裁定最终责任划分，而对于事件该如何善后则只字不提。

另一位来自上述维权群的网友称，他在被骗子盗刷后采取了各种措施：向京东反馈、警察局报案、致电反诈骗中心；但至今依然没有得到一个合理的说法及善后。

也有网友对维权感到无望，“我们还没有形成规模，破案难度也大，就怕慢慢地跟京东耗不起，这事就淡了。”

京东承认漏洞

对于用户信息频频泄露导致用户被盗刷一事，京东官方微博回复记者称，“请您放心，京东都是保证客户信息安全的，如果您有任何问题可以联系京东客服，我们一定全力处理。”

尽管京东与用户信息失窃并不能直接划等号，但是前者在用户账号多次异地登陆时竟然没有做出任何提示和预警。

王珂告诉记者，他被骗的5月18日晚和19日凌晨，其账户分别在黑龙江、广东、江苏等地用电脑进行登录。对此京东客服解释称，骗子盗取账户后做了一些操作，设置了有利于他们的信息，然后再引导受害人进行操作。

此外，有不少受害者表示他们的账号也存在异地登录的情况。

王珂提供的一段与京东客服沟通的语音显示，目前同一京东账号可同时在不同地方进行登录，京东方面正在进行技术研发，将对账号异地登录进行提醒。

张新年向记者透露，虽然京东没有公开承认是内部泄露用户信息，但自去年京东员工贩卖用户信息一案被曝光后，京东陆陆续续以“垫付”的名义弥补了一部分消费者的损失。

记者注意到，在上述案件告破前，京东商城官方微信号曾称，用户账号信息被泄露是通过“撞库”，被不法分子通过黑客手段窃取。

蹊跷：记者调查反被骗子追踪

离王珂被骗已过去多日，就在记者关注事件进展的同时，骗子也紧跟着“登门拜访”。

6月12日下午，记者接到一个来自广州的电话，对方报出记者姓名后，自称是京东商城工作人员，并告知有一笔订单出了问题，无法生成回执单，需要记者配合处理。整个过程几乎跟王珂的经历一模一样。

在记者拒绝提供验证码后，骗子挂断了电话。再拨打该号码则一直显示为占线。

记者随后登陆京东账户发现，从5月6日开始账户就陆续存在异地登陆的情况，且最近的10次登录中就有5次是异地登陆，但平台并未作出任何相应的提示和警示。

对此，京东客服向记者解释称，京东是不会泄露用户账户信息的，但是不法分子会通过各种手段获取个人信息。该客服表示，最近有其他用户反映了类似情况，京东也在官网上做过提示，不要相信这种骗子的手段。“如果有金钱的损失，请在第一时间报警，我们会协助处理。”

当问及如何保证用户信息安全，杜绝此类事件发生，上述京东客服称，建议用户定期修改登录密码及支付密码，并查看京东账户、银行卡是否有异常。

实际上，修改登录密码起不到实际作用。以记者账户为例，5月6日账户为首次异地登录，按京东客服的说法，修改了登录密码后骗子应该无法再登陆用户账户。但记者于近日刚修改过登录密码和收件人信息，骗子却依然能掌握最新的用户信息。

无独有偶，另一位来自北京的媒体人也“不幸中招”，来自北京投资者报的记者高方方，日前就在微博上吐槽遭遇京东信息泄露骗局。她表示，在6月12日下午，接到冒充京东客服的电话，说订单有异常，让其办理退款，在透露了银行卡信息密码后，瞬间被转走了近8万。而该记者事后联系了京东客服，京东客服却是各种推卸责任。她透露，犯罪分子的手机为15356054164，显示在浙江宁波，目前她已经报警。对于京东的不负责任，她表示极度的愤慨。

“撞库”是否真凶？

所谓“撞库”，即以大量的用户数据位基础，从某些安全防护措施不严的网站获取用户相同的用户名和密码，再尝试登陆其他的网站。

对此，国内某大型互联网公司信息安全资深人士向记者表示，京东用户个人信息遭泄露，不排除被“撞库”，但除此外还有多种渠道可能致使用户数据流出。

上述人士指出，乌云漏洞平台曾于2011年曝出京东商城的一个漏洞，该漏洞会导致京东商城在某些业务上存在用户权限控制不当，导致用任意用户登录系统后，都可以正常访问到所有用户的信息。同样，乌云漏洞平台还在2014年提交了一个能使任一京东用户随机进入他人账号的漏洞。

不过，在该人士看来，尽管目前多个网购平台都或多或少存在安全漏洞，但是平台至少可以提供一定的安全防范。“比如异地登陆提醒和二次认证的功能，这些技术的门槛很低，两三天就能开发出来。”他认为，京东到现在连这些基础的提醒功能都没有，说明他们对用户安全信息的重视程度着实不高。

“排除了外在因素，京东内部也有泄露用户信息的可能。”上述人士表示。

记者梳理资料发现，据《法制晚报》此前报道，去年有3名京东商城员工越权登录公司数据库系统，非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子。且这3名京东员工已于日前被北京市大兴区人民法院以非法获取公民个人信息罪判处有期徒刑1年6个月至1年。

据其中一名员工交代，其非法获取的京东商城客户信息不止法院判定的9313条，而是近3万条。