京东商城最终未能逃脱2011年“CSDN泄密门”的余波。

2月13日，多家媒体报道，京东商城个人账户被盗刷，并且被盗刷的消费者数量在增加。其实在“CSDN泄密门”后，网民在其他网站的账号、密码就给了不法分子套用的机会，不过笔者注意到的并非这件事情，而是媒体援引京东有关人士的表态：“初步调查，账户被盗刷的用户所使用的京东商城账号、密码，大多与该用户在已被泄露信息的其他网站相同，结果给了不法分子套用这些账号、密码盗刷京东账户的机会”。

笔者无意学习跨年热炒的“韩方”大战中双方咬文嚼字的恒心和毅力，不过据京东商城该人士所说，被盗用的京东商城用户账号，密码，“大多”与已被泄露的其他网站相同。笔者据此推测，是否在“大多”之外，京东商城的个人账号还存在被盗刷的可能，换言之，即使京东商城个人账户幸运的躲过了“CSDN泄密门”，依然摆脱不了账户被盗刷的结果，京东商城网站存在某种可被不法分子利用的某种漏洞。笔者也联想到同样发生在去年年底的另一件事情。

修复一个网站需要多长时间？不确切的答案是270天。为什么说不确切？因为直到现在尚不能确认。

事情还需要从2011年4月说起，据媒体报道，网名“我心飞翔”的要某发现京东商城网站存在两个安全漏洞，然后通过某论坛提交给了京东，并与京东商城相关技术人员取得联系。

2011年12月29日，因涉嫌“要挟京东商城向其支付270万元”，要某被公安机关带走。随后要某家属出面向媒体求助，并称敲诈270万元完全是京东商城人员设的局，要某是被陷害的。

要某是否敲诈京东，涉及刑事案件，自有公安、监察机关做出公断，笔者倒是关注到另一个细节：据要某家属介绍，要某提交的两个京东商城网站漏洞中，其中一个很快被修复，另外一个直到2011年12月份还没有被修复。

漏洞为何持续存在270天？

从媒体报道的资料中可以了解到，从发现漏洞到该漏洞被公众知晓，中间长达270天。

笔者疑惑：京东商城，到底是什么原因让这个漏洞持续了270天时间？在这270天，京东商城为何没有及时将这个漏洞修复？在这漫长的270天里，是否有其他人利用这个漏洞窃取京东商城用户资料呢？而此次暴露的京东商城个人账户遭盗刷，是否与此有关？

这些都是未知数。但不管有没有人利用这个漏洞，京东商城没有及时修复这个漏洞基本可以认定为事实，也就是让自己的用户在长达270天的时间里随时都可能面临着隐私信息丢失的风险。

15亿美元融资，有多少用于技术投入？

京东商城一直津津乐道的，就是获得号称中国B2C最大融资额的15亿美元融资。

笔者无权要求京东公开如何用这笔钱，但笔者要追问一句：在15亿美元融资中，到底有多少钱被用作技术投入？有没有追加自身网站安全防护投入？如果京东商城在安全方面有所投入，那么，一个已经发现了的安全漏洞，还能够持续270天得不到修复么？

其实，从刘强东以前的微博不难看出，京东的信息部门技术薄弱。笔者好奇问一下：京东商城既然那么有钱，为何就不能在安全防护上多投入一点，让270天修复不了漏洞的杯具不再重演？

京东商城的老刘一直说物流才是京东的短板，殊不知，不知不觉中，IT技术、网站安全防护或将成京东的另一个短板。

京东商城如何对用户数据安全负责？

 其实，在“CSDN泄密门”之前，鲜有听闻电子商务遭黑客袭击而致用户数据泄露的案例。

不过也有一种可能，电子商务网站遭攻击可并未曝光，犯罪分子已然得手，譬如诸多邮件营销公司手头上的亿万个B2C注册邮箱列表，相信做EDM的朋友都不会陌生。

回到京东这个事件上，这个漏洞既然已经事实存在，并且持续存在了270天（何时被修复尚未可知）。那么笔者不免追问一句，在这270天的时间里，有谁敢保证这一漏洞没有被他人所利用？

假设一旦被别有用心的人所利用，那京东商城用户的资料就可能被获取，京东用户的个人信息就有可能被泄露。那么，这些用户因京东忽视安全所带来的信息泄露，因此所产生的风险，又该由谁来承担呢？

一家如此“富有”的电子商务公司，能够让一个漏洞裸奔270天，就足可见这家公司对用户数据安全的态度（抑或是有心无力）。整个事件的焦点被很多人忽略，或者说是被刻意的做了转移。真正我们该关心的问题是，京东在这起事件中有没有负起责任来？我们还能相信自己的数据在京东商城网站是安全的吗？

京东商城号称要做中国的亚马逊，而众所周知的是，美国亚马逊拥有全球最棒的IT系统，有谁听说过亚马逊一个漏洞持续被发现270天未得解决么。作为京东商城普通用户中的一员，我也希望“做中国亚马逊”不是仅仅停留在口号上。

笔者好奇隔空向京东的同行们喊一句话，很期待这次喊话的结果：苏宁易购、天猫、当当、卓越们，你们网站修复一个漏洞需要多长时间？

最后，笔者再提一个期望，疑或说是奢望，希望京东商城在情人节给用户一颗定心丸，宣布另一个裸奔270天的漏洞已被修复，也让网购用户过一个安心的情人节！（文/挨踢客）