京東白條被薅羊毛薅得太厲害了，但“京東白條”≠白條，京東白條是要還的！而且京東作為一家大企業，不可能讓人這麼輕易地就佔了便宜。

還原整個事件。這些大學生其實是抓住了京東的一個核心漏洞：京東的稽核形同虛設。其具體操作方法是：

收購大學生身份證資訊，這樣的事情易如反掌；

用買來的身份證買一張電話卡；

利用買來的身份證和這張電話卡註冊學信網並查詢學籍資訊；

到京東申請新賬號，並提交“開通白條申請”；

拿著這張買來的身份證並來到這個人的大學，找京東的“面審官”（幾乎每所大學都有）面籤；

拿到白條資格後，在京東上買接近白條上限金額的商品，比如iPhone，然後打折出售，錢到手。

請注意第5步，面審官其實都是京東“臨時工”，對於稽核是非常敷衍的，即便身份證資訊和持證人不太相似，他們也懶得管，畢竟他們的業績是和業務量掛鉤的，不對風險損失負責。正是由於這個漏洞，這些大學生才得以詐騙京東110萬元之巨。

除了這種方法，“機智”的人還有其他薅羊毛的辦法。

比如利用信用卡薅羊毛。將自己的信用卡資訊提供給京東，京東以此作為信用記錄給使用者開通白條。於是有人就假裝自己是某銀行的工作人員，在各種平臺釋出廣告，稱讓信用卡使用者只要提交信用卡、身份證、手機等資訊，就可以免費領現金200元~1000元不等的現金，在拿到這些關鍵資訊後，這些人就偷偷代為開通了白條業務，然後購買商品或京東購物卡再轉手賣出獲利，實際使用者“被開了白條”，卻還矇在鼓裡。

還有利用“白條套現”的伎倆。有人著急用錢，在所謂中介的指引下開通京東白條，並按照中介指示將商品買給中介，中介收到商品之後人間蒸發。

總之，京東白條的漏洞還是很多的，核心問題在於稽核不嚴。上述內容，是作為反面案例，大家切不可去模仿。當然，京東方面最近也表示，類似漏洞已經補上。

當然，去找平臺的漏洞並從中漁利風險是很大的。且不說這幾位大學生最多被判10年，最好的10年清楚就葬送在了牢房裡面，確實是得不償失。而且據澎湃報道，就在庭審現場，京東的人就在門口，等著大學生的家人還款——只要還款，就可以得到京東方面出具的諒解，或許對減刑有幫助。

流程不嚴謹，風控有問題，京東被擼情有可原；見利忘義，鋌而走險，大學生被判罪無可逭。

整件事的起因，就是大學生髮現了京東白條的一個漏洞-稽核不嚴、形同虛設。

流程大致是這樣：

1.大學生汪某從某高校附近的網咖，花錢購買了一張在校學生遺失的身份證，又購買了一張手機卡，在學信網上註冊帳號，成功獲取身份證對應的學籍資訊。

2.利用對應的學籍資訊，在京東商城申請了帳號，申請開通京東白條賒購業務。

3.申請白條完成後，汪某把身份證和學籍資訊轉交給了張某，張某來到該身份證人的大學，並找到了京東在學校的面籤官（一般為大學生兼職），進行現場面籤，面籤官僅進行簡單的問詢式面籤，並沒有對本人與身份資訊仔細核對，就完成了初審，然後把初審材料發往京東後臺，由京東後臺進行最終稽核，而後臺稽核人員也沒有對材料作進一步核實，往往就透過稽核，這樣這個賬號就具備先購物後還款的賒購功能。

4.稽核通過後，汪某利用的京東白條京東購買了手機、電腦等物品，手機和電腦到手後，汪某把東西郵寄到外地，以低價銷贓獲利。

5.

反覆利用這種手段，共詐騙京東金融公司價值110餘萬元額度，法院依法判處汪某有期徒刑10年9個月.

所以你會發現，在整個流程中最重要的現場初審，京東金融並沒有嚴格把控，而是交由一些在校大學生（本校學生）處理，而這些學生，風險辨別能力、責任心都未必能起到風險預防的要求，而後臺又過分相信初審，導致出現風險。

所以我認為，雙方都有責任。

國外網際網路企業是如何來發現漏洞的？比如下面這些例子：

1、Windows Bug賞金計劃。

賞金規模500美元到25萬美元不等，具體獎金金額取決於安全漏洞的複雜性，以及報告者提交給微軟的資訊數量。

2、Google漏洞獎賞計劃。

賞金規模300美元到31337美元不等，計劃起於2010年，Google已為其擁有的網路服務，Google應用，Android和Chrome支付了超過千萬美金的漏洞獎勵。

3、Apple漏洞賞金計劃。

起始是2016年美國黑帽大會，相對比較封閉，其有特定群體，由於蘋果是閉環系統，未開源，故而僅限特定駭客提供協助。

列舉幾個重要的，我們對於臉書、英特爾和優步等企業的漏洞賞金，就不用重複提及了。可以說，世界上大多數科技企業在修補漏洞，增強體驗方面，都是採用獎勵的措施，而在金融行業，大多數外華人依然在使用沒有密碼的信用卡，如果ATM出現漏洞多付了錢，在國外通行的做法，就是歸使用者所有。國外企業之所以如此處理，是因為在國外漏洞責任在於企業自身。

更神奇的是五角大樓，2016年美國國防部（DoD）推出了黑進五角大樓的漏洞賞金計劃，賽期從4月18日至5月12日。在短短的一個月內，共有約250位安全人員報告了五角大樓存在的漏洞隱患，最終有138人被確認符合獎勵資格，並獲取了100到15000美金不等的獎金。據統計，該計劃共為此支付了75000美元的獎金。

說這麼多，是為了說明。白條漏洞責任歸因應該更多是在企業方。其不能保障使用者實名的識別，從而產生了漏洞，造成了損失，從法律的層面，大陸外都是一樣的，但是在信譽的層面，企業應該提供更多的使用者保障。