尊敬的京東金融用戶、行業(yè)管理機(jī)構(gòu)、合作伙伴和媒體朋友：

　　針對昨天有用戶通過微博發(fā)布的京東金融App安全問題，我司***時(shí)間聯(lián)系用戶跟進(jìn)調(diào)查，也迅速組織安全技術(shù)團(tuán)隊(duì)進(jìn)行24小時(shí)全面排查，現(xiàn)將當(dāng)前排查結(jié)果與大家同步：

　　1、安全技術(shù)團(tuán)隊(duì)對所有版本的京東金融App進(jìn)行排查后，發(fā)現(xiàn)安卓系統(tǒng)上的App5.0.5以后的版本存在該問題，并已定位問題且下線修復(fù)：

　　1)2018年12月，京東金融App5.0.5版本上線了客服截屏反饋功能，此功能的目的是，用戶對京東金融App進(jìn)行截屏?xí)r，本人可將京東金融App截屏發(fā)送給在線客服人員，以提高與在線客服的溝通效率。

　　2)此功能實(shí)現(xiàn)是通過安卓系統(tǒng)的兩個(gè)官方通用類ContentObserver和MediaStore的組合調(diào)用來接收用戶手機(jī)截屏動作的通知，使用了UniversalImageLoader這個(gè)通用第三方庫實(shí)現(xiàn)截屏的本地緩存以及預(yù)覽縮略圖快速展示，但上述技術(shù)均不具備圖片自動上傳的能力，圖片僅緩存在用戶手機(jī)本地。

　　3)京東金融App在該項(xiàng)功能開發(fā)上存在技術(shù)問題，具體為用戶將京東金融App切換到后臺后，該功能繼續(xù)運(yùn)行，繼續(xù)接收新增圖片通知(包括截屏和照片等)并在手機(jī)本地緩存，而原功能設(shè)計(jì)需求是切換后自動停止該功能，屬于需求錯(cuò)誤開發(fā)。同時(shí)，經(jīng)過安全技術(shù)團(tuán)隊(duì)深度評估，該功能也不應(yīng)該使用手機(jī)緩存技術(shù)來實(shí)現(xiàn)，應(yīng)該直接使用手機(jī)實(shí)時(shí)內(nèi)存(RAM)實(shí)現(xiàn)并增強(qiáng)提醒，無需使用手機(jī)本地緩存，當(dāng)京東金融App切換或退出時(shí)，將自動清空。

　　2、此次技術(shù)問題涉及的新增緩存圖片僅存在用戶手機(jī)本地，京東金融App堅(jiān)決沒有對用戶照片和截屏進(jìn)行私自上傳，也對該功能進(jìn)行了全面排查，并未發(fā)現(xiàn)任何一張未經(jīng)授權(quán)的圖片被收集。

　　對于上述說明，大家可能依然會質(zhì)疑事實(shí)的真相，我們將馬上采取以下措施：

　　1)我們周一將邀請權(quán)威官方機(jī)構(gòu)對京東金融App進(jìn)行全面的安全性檢測，并承諾未來每季度進(jìn)行權(quán)威官方檢測，及時(shí)公告檢測結(jié)果。

　　2)我們下周將邀請包括本次問題發(fā)現(xiàn)者“@瘦出的肋骨已經(jīng)消失的大俠阿木”在內(nèi)的用戶和外部專家、媒體組成信息安全顧問小組，對京東金融App提供的產(chǎn)品和服務(wù)進(jìn)行獨(dú)立、長期的檢查監(jiān)督，我們將定期公布顧問小組的檢查結(jié)果。

　　3)我們將賦予內(nèi)部安全技術(shù)團(tuán)隊(duì)對產(chǎn)品功能的直接否決權(quán)，將投入更多資源，建立更為嚴(yán)謹(jǐn)?shù)陌踩珜彶闄C(jī)制，對每一項(xiàng)技術(shù)應(yīng)用和業(yè)務(wù)功能進(jìn)行更加嚴(yán)格、全面的安全測試。

　　因?yàn)槲覀冞@個(gè)低級失誤，給用戶和行業(yè)帶來廣泛擔(dān)憂，傷害到京東金融長期以來積累的用戶信賴，我們比誰都覺得不值得，非常懊惱、非常痛心、非常自責(zé)。用戶信賴是京東金融發(fā)展的底線，京東金融也恪守正道成功的商業(yè)經(jīng)營理念，我們絕不會做任何侵害用戶權(quán)益的事。

　　這次的失誤，是我們在產(chǎn)品開發(fā)過程中的技術(shù)問題，我們從未想過未經(jīng)用戶授權(quán)獲取用戶圖片。這次的跟頭摔得很重，但是請大家相信我們，京東金融之前沒有、未來也不會私自上傳用戶圖片，并愿意接受權(quán)威官方機(jī)構(gòu)的檢測。我們感謝用戶和媒體對我們的監(jiān)督，并指出我們工作上的漏洞，我們有信心解決，也請大家對我們繼續(xù)監(jiān)督。

　　再次致歉。

　　京東金融

　　2019/2/17