千龙网综合报道 近日,网络曝出黑市重磅“炸弹”:京东12G用户数据泄露,涉及数千万用户的身份证、密码、电话等 敏感信息,而地下渠道已经对数据进行明码标价交易。此消息一出,在网上引起轩然大波。
事实上,这并不是京东第一次遭遇用户数据外泄风波。而京东本次的数据泄露事件也只是互联网信息安全问题的“冰山一角”。它的背后,反映的是越来越完整、分工精细复杂的数据贩卖黑色产业链。那么,网络时代我们如何保护自己的数据安全?
【数据之谜】京东12G数据泄露风波
公众号“一本财经”日前发布文章《京东数据疑似外泄:超过12个G,涉及数千万用户》,称最近黑市上有一12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。黑市买卖双方表示这些数据来自京东。
▲ 外泄数据部分截图
▲ 数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等
一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。
据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。
“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。
【京东回应】源自2013年安全漏洞问题 极少用户存在风险
京东集团11日回应表示,初步判断该数据源于2013年Struts2的安全漏洞问题,当时已迅速完成修复。
京东在声明中表示,在Struts 2的安全问题发生后,就完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
不过,京东的回应用户似乎并不买账。在微博上,“京东用户数据遭外泄”迅速上了微博热搜榜,京东官方微博下面,用户声讨声音不少。有网友称,京东的回应并没有解决问题,只是推卸责任。“
京东官方声明内容
网友针对京东官方声明的神回复
关于2013年Struts 2安全漏洞
Struts为Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,包括电商、银行、政府等诸多网站均受影响。比较奇葩的是,它们直接公布了一段利用这个漏洞的示例代码。这个漏洞可以被黑客利用,获取网站用户的用户名、密码等各种敏感信息。
使用 Struts2 框架的开发者们,只有通过手动更新的方式,才能修复这个漏洞。也就是说, Apache 基金会在发布新版本的同时,把一个非常危险的漏洞,以及漏洞利用方法直接公诸于众。
由于 Apache 基金会直接公布了利用漏洞的代码,于是,各种傻瓜式窃取网站数据的工具一下涌现出来。黑客们把越来越多的存在漏洞的网站公布在第三方平台上,更引发了类似杀人比赛一样恶性循环;同时,以前不关注这个漏洞的人也被吸引而来,进一步让局面失控。
在漏洞被官方爆出来后,国内各大互联网公司都第一时间修复了漏洞,包括京东。但是很多国内的小网站,一直不知道该漏洞,对于黑客来说数据就是囊中之物。
