小牛在线用户奖励被盗 或是被黑客攻击

小牛在线是小牛金服旗下普惠互联网金融平台。3月15日，中国互联网金融协会首批成员P2P平台小牛在线用户奖励被盗，且情况非个例，被盗的京东e卡累积价值上百万。究竟这是怎么回事？

今早有投资者称小牛在线发放的平台奖励京东e卡被盗了。

事情的过程是这样的：

用户参加了小牛在线在小米应用商店的活动，投资20万，平台返3500元京东e卡。

该用户投资后，平台将京东E卡的卡密通过站内信的形式进行发放。一张3000元面值的，一张500元面值的。

有些粉丝可能不清楚京东E卡的规则。京东E卡只要有了卡密就可以查询余额或者绑定京东账号。

绑定后可以购买京东自营商品。市面上也有97折或者98折收购京东E卡的。

很多平台会因为做账的原因，选择京东E卡这类基本与现金等价的礼品卡。毕竟给投资人返现金的营销支出，都需要准备相应的发票。尤其是合规备案的阶段，都不想在这方面受影响。

该用户拿到卡密之后，先绑定了500元的京东E卡，剩下3000元面额的因为暂时用不上，查询余额之后就没有绑定。

但是昨晚，很多QQ群都在说在小牛在线投资拿到的京东E卡都被盗用，包括小牛在线的投资群在深夜也在讨论这个事情。

然后该用户赶快去验证了自己3000面值的京东E卡，发现也被盗了。然后，当时打小牛客服电话，客服是22点30下班，打的时候是不到22点，已经没有人接电话了，群里将此事传开，再看到赚客吧也有许多人发帖遇到此事件，才知道，只要没有绑卡的，京东E卡大多数被盗刷了。

但直到3月15日的下午13点，小牛官方依然没有给一个处理方案，只告知用户进行登记，等待10个工作日，会有处理结果。

已有用户与京东联系，京东当时的回应是需要联系活动方，也就是小牛在线。

目前小牛在线客服口头答应“核实后可以进行补卡”，但是对于如何核实，与谁核实并没有说清。

不过目前得到消息，京东称警方让京东冻结此批涉及到的京东E卡，但是小牛客服下午18点时称还未报警。该投资人的京东卡已被冻结。（有余额，但是无法使用）

据了解，此次涉及到的京东E卡，在搜集了赚客吧，加上小牛两个官方群，以及各大渠道群的数据，已经上百了。

就目前得到的情况来看。其实有以下几种可能：

1、小牛在线内部员工作案

最早的时候侦探还猜测是不是发奖人员才有可能盗取卡密。毕竟这个是最直接能获取到卡密的，但是后来想到涉及到的用户非常多，京东E卡的金额有很大，所以发奖人员盗取的可能性倒是不大。

那么还有一种可能就是平台的技术人员了。从后台可以调取站内信的所有数据。可以大批量获取京东E卡的卡密。不过这里有一点风险的，因为一般只要平台任何技术上的操作。包括调取数据，都有相关的操作日志。在调取之后不知道能不能抹掉操作日志。

2、小牛在线可能也是受害者，有可能是被黑客攻击了

这种可能性还是较大，因为内部员工作案，其实事情发酵之后，涉及到金额这么大，报警之后还是可能会查出来的。毕竟这可是犯罪呢。

黑客通过攻击，访问到小牛在线数据库，在数据库中直接扒到了站内信中发送的京东E卡卡密。

3、京东方面工作人员泄露

概率较低。不论是前两种的哪种情况，其实情况都不乐观。

毕竟内部作案和被黑客攻击盗取数据，都是很恶劣的事情了。

尤其是在用户反馈了问题之后，并没有在黄金时间解决这个问题。造成了更大范围的影响。实在难以担得起用户的这份信任。毕竟小牛在线在业内也并不是多么高大上的平台。

小牛在线由“深圳市小牛在线互联网信息咨询有限公司”运营，实际控制人彭铁一直很神秘，而小牛在线也在没有拿到风投的情况下进行了超级多的推广，而彭铁是如何发家的，哪里来这么多钱来烧钱做各种赞助，也让业内同行猜测不透。

去年也一直传言小牛在线要借壳同洲电子上市。关于小牛老板收购股份的资金，众说纷纭。

在中国互金协会信披系统中可以看到，小牛在线逾期金额在去年一直在4亿元以上，项目逾期率达到5.32%，今年一月份应该是没有披露相关逾期数据。

这次京东E卡被盗的事情，应该给小牛在线敲醒警钟。千里之堤毁于蚁穴，不论多么神秘的大佬，如果不是踏踏实实做业务，服务投资人，那么一定走不远。