昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等信息。不过密码经过了MD5加密。一本财经在报道中提到:
一些地下渠道,开始对数据进行明码标价,价格从“10万到70万”不等。
这真可谓重磅炸弹了。不过京东今天已经正式给出回应,确认这部分数据泄露是缘于2013年的Struts 2安全漏洞,并表示京东很早就已经修复了此漏洞,而且当时已经提示存在风险的账户进行安全升级。
这份声明一定程度确认了一本财经所说数据泄露的存在事实。只不过按照京东的说法,泄露的数据理论上已经是3年前的了。随着12.12临近,如果京东官方的说明属实,一本财经选择在这个时间点曝光,不免令人深思。
我们实际上没有从一本财经的报道中看到这份数据究竟在哪个黑市流通。不过报道中的确呈现了一些截图,并且据说尝试根据其中列出的用户名和已破解的密码登录京东,的确是能够登录的——由于某些用户的密码比较简单,所以即便密码经过了加密,要破解也并不需要太长时间。
一旦登录京东,危害性自不必多说:在京东的交易记录、订单、地址等信息就能轻易查到。另外,黑客还可以利用这些数据前往其他网站撞库,毕竟的确会有不少人在不同的站点采用相同的账户和密码。
不过报道中提到,这份数据已经被销售多次,“至少有上百个黑产者手中掌握了数据”。而且“数据外泄的时间已经比较长了,至于为何现在又流通,原因未明”。
京东在今天的声明中提到:
“经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
这表明数据泄露的情况的确存在,只不过数据是前几年的了。无论如何,京东用户还是需要提高警惕的。
从昨天晚上开始,网上就在流传下面截图中这份“数据下载”——据说这就是本次京东泄露的数据,格式为jd1~4.txt。文件尺寸看起来还真是挺大。我们也特别下载证实:这四个文件均为国产古装戏,并不是泄露数据。jd1~3.txt是侠僧探案, jd4.txt是陆小凤。
京东过去两年就曾经发生过数据泄露事件:2014年3月,网上传言京东被拖库。不过当时京东发表声明说并没有发生大规模用户信息泄露,只是部分帐号被盗——这些帐号原本的安全性就比较差。
而在2015年,京东真的发生了一次数据泄露。调查后,京东说是内鬼所致——当时《法制晚报》报道称,京东内部3名负责物流的员工通过QQ群联系买家,总共售出超9000条用户信息。最后经犯罪嫌疑人供认,他们实际非法获取了近3万条数据:最初他们按照3毛一条信息的价格卖,之后涨到5毛,最后1.5元/条。
当时甚至有“数百用户欲集体起诉京东”的新闻出现,那次数据泄露事件据说致数百名用户被骗,总金额达到了数百万。除此之外,2014年支付宝20GB用户资料泄露、2012年1号店90万用户资料泄露,而且出售价格据说都还很便宜。对电商而言,安全问题早就迫在眉睫。
因此,登录帐号不要采用过于简单的密码、开启多重认证机制等,对于用户而言还是必要的。京东也再声明中提到:
“京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。”
如果你真的放心不下,还是尽快去把京东账户的登录密码改了吧!不过身份证号、电话号码、QQ等资料泄露,这事儿还是相当尴尬。
* 参考来源:一本财经、京东黑板报,本文作者:ArthurKiller & 欧阳洋葱,转载请注明来自FreeBuf.COM