京东微联被曝将用户WIFI密码上传至服务器，官方称去年下半年后无此情况

继今年6月1日《中华人民共和国网络安全法》实施，无疑给大数据“黑金”加了个铁栅栏。近日，京东旗下的智能设备控制APP京东微联，被媒体爆出非法保存用户WIFI密码。

据互联网安全新媒体嘶吼网报道，有网友发现京东微联APP会保存用户当前使用的WIFI密码，并上传到京东服务器，且没有任何提示。

京东微联的用户协议称，“不会以任何形式在云端收集存储用户 WiFi 密码。在初次添加某款智能硬件设备的过程中，您需为此设备提供 wifi 环境接入所需的 ssid 以及密码，用于智能硬件设备和 wifi 环境的一键配置；我们会对这些信息，进行映射处理，但不会对原始信息以及映射处理后的信息进行任何云端的存储或修改，也不会公开、转让、用于其他使用目的。”

不过在嘶吼网随后的测试中，发现在添加设备时，Burpsuite 抓取的数据包正在将WIFI名、密码上传。

由于京东微联使用京东账号，而后者作为电商平台掌握用户手机、家庭地址等个人隐私信息，当这些信息再叠加上家庭网络设备入口，可以观测用户的上网行为，这张全面的大数据图谱就更加令消费者担忧。

而京东微联的官方声明，则表明这一切已经是“过去时”：

“2016年上半年之前的微联设备为了适配不同厂商芯片及模块的配网通讯方案，在匹配时会通过HTTPS（超文本传输安全协议）加密的方式上传Wi-Fi相关信息至云端完成编码，再回传到设备端完成配网流程，数据不但经过了加密，而且服务端不会存储任何Wi-Fi相关信息；

2016年下半年后的设备不存在数据上传情况。微联会坚定、全面推进微联自研配网协议的普及工作，新接入产品不再需要往云端发送用户Wi-Fi信息，统一用户体验，提高配网成功率，并消除用户的困扰。”

在大数据时代，用户画像的商业价值，让消费者看上去就像由一堆标签拼凑出的图谱。如何平衡好企业的野心和用户的利益，是整个商业社会接下来的议题。