有消息称京东超12G数据疑似外泄,涉及数千万用户。昨晚京东紧急回应,经初步判断,该数据源于2013年Struts 2的安全漏洞问题。
上周六晚,有自媒体发文称一个12G的数据包在黑市上流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,并指数据来自京东。而京东表示正紧急核实数据真伪。目前,京东得出初步结论,该数据源于2013年Struts 2的安全漏洞问题,在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
对此,京东强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
事实上,这并不是京东第一次遭遇用户数据外泄风波。
京东曾多次泄露用户数据
相关人士表示,数据外泄的时间已比较长了,至于为何现在又流通,原因未明,很难确认是“内鬼”还是“黑客盗取”。事实上,这并不是京东第一次遭遇数据外泄风波。
2015年3·15前夕,京东被曝出大量用户隐私信息遭到泄露。当时京东方面给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。
这次风波的后续在今年4月以一条社会新闻收场。法制晚报报道称,京东商城3名员工越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子,据报道3人总共非法获利近4万元。
这起案件公开后还曝光了一个惊人的细节:京东商城的客户信息系统,涉案3人是没有登录权限的。但根据报道,京东商城存在有系统登录权限的员工的登录ID、密码被无系统登录权限的其他员工“共享使用”的情况。
数据贩卖的黑色产业链
随着互联网越来越普及,数据泄露已成为了互联网安全问题发生的常态。电商在线记者从一位不愿具名的业内知情人士处了解到,网络黑产的链条已很完整,分工精细复杂,公开售卖账户信息正变得越来越普遍。
在这个灰色链条中,存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种,一方面是黑客利用系统漏洞获取,另一方面是内鬼倒卖数据,2015年3·15前夕京东曝出来的泄露就是因为内部人员违规违法操作导致。
而数据的买方也目的不一。有一些同类业务平台,为了edm推广更精准会购买这些泄露出来的用户数据;也有一些电信诈骗方会看中这些数据,从而冒充平台去欺骗消费者,因为能准确报出相关信息,消费者通常会降低警惕。
这些数据通常会被多次倒手,价格不一,此前卖掉9313条京东用户信息的3位前京东员工共非法获利近4万元。
安全牛主编李少鹏表示,数据可以按照其价值进行分类,需要经过层层过滤价值才有可能更大。包含了用户的支付信息、信用卡和银行账号信息的数据会更值钱。
点评:不论是互联网公司遭遇拖库还是撞库,个人隐私数据正面临越来越大的泄露风险。业内人士建议,个人在注册互联网服务时,不要填入过多的个人信息,也尽量不要把其他互联网服务账号设置为相同密码。