京东千万条账户数据泄露?京东回应称系2013年的漏洞所致

昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等信息。不过密码经过了MD5加密。一本财经在报道中提到:

一些地下渠道,开始对数据进行明码标价,价格从“10万到70万”不等。

这真可谓重磅炸弹了。不过京东今天已经正式给出回应,确认这部分数据泄露是缘于2013年的Struts 2安全漏洞,并表示京东很早就已经修复了此漏洞,而且当时已经提示存在风险的账户进行安全升级。

这份声明一定程度确认了一本财经所说数据泄露的存在事实。只不过按照京东的说法,泄露的数据理论上已经是3年前的了。随着12.12临近,如果京东官方的说明属实,一本财经选择在这个时间点曝光,不免令人深思。

是以前泄露的数据?

我们实际上没有从一本财经的报道中看到这份数据究竟在哪个黑市流通。不过报道中的确呈现了一些截图,并且据说尝试根据其中列出的用户名和已破解的密码登录京东,的确是能够登录的——由于某些用户的密码比较简单,所以即便密码经过了加密,要破解也并不需要太长时间。

一旦登录京东,危害性自不必多说:在京东的交易记录、订单、地址等信息就能轻易查到。另外,黑客还可以利用这些数据前往其他网站撞库,毕竟的确会有不少人在不同的站点采用相同的账户和密码。

不过报道中提到,这份数据已经被销售多次,“至少有上百个黑产者手中掌握了数据”。而且“数据外泄的时间已经比较长了,至于为何现在又流通,原因未明”。

京东在今天的声明中提到:

“经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

这表明数据泄露的情况的确存在,只不过数据是前几年的了。无论如何,京东用户还是需要提高警惕的。

泄露数据已经提供下载?

从昨天晚上开始,网上就在流传下面截图中这份“数据下载”——据说这就是本次京东泄露的数据,格式为jd1~4.txt。文件尺寸看起来还真是挺大。我们也特别下载证实:这四个文件均为国产古装戏,并不是泄露数据。jd1~3.txt是侠僧探案, jd4.txt是陆小凤。

京东数据泄露,这不是第一次了

京东过去两年就曾经发生过数据泄露事件:2014年3月,网上传言京东被拖库。不过当时京东发表声明说并没有发生大规模用户信息泄露,只是部分帐号被盗——这些帐号原本的安全性就比较差。

而在2015年,京东真的发生了一次数据泄露。调查后,京东说是内鬼所致——当时《法制晚报》报道称,京东内部3名负责物流的员工通过QQ群联系买家,总共售出超9000条用户信息。最后经犯罪嫌疑人供认,他们实际非法获取了近3万条数据:最初他们按照3毛一条信息的价格卖,之后涨到5毛,最后1.5元/条。

当时甚至有“数百用户欲集体起诉京东”的新闻出现,那次数据泄露事件据说致数百名用户被骗,总金额达到了数百万。除此之外,2014年支付宝20GB用户资料泄露、2012年1号店90万用户资料泄露,而且出售价格据说都还很便宜。对电商而言,安全问题早就迫在眉睫。

因此,登录帐号不要采用过于简单的密码、开启多重认证机制等,对于用户而言还是必要的。京东也再声明中提到:

“京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。”

如果你真的放心不下,还是尽快去把京东账户的登录密码改了吧!不过身份证号、电话号码、QQ等资料泄露,这事儿还是相当尴尬。

* 参考来源:一本财经、京东黑板报,本文作者:ArthurKiller & 欧阳洋葱,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-12-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

Forrester公布2016年数据泄露之最:MySpace称第一,阿里巴巴排第二

本已处于休眠状态的MySpace最近因为黑客又火了一把,据统计,在2016年该社交媒体共有4亿2千7百万账号被窃取。 据Forrester报告所说,这项纪录遥...

2729
来自专栏腾讯游戏云的专栏

一个域名引发的血案……

6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

65213
来自专栏大数据文摘

【安全】“心脏出血”漏洞一周年全球普查

1983
来自专栏FreeBuf

第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。 ? 这是恶意软件开发者使用基站传播恶意软件的第一起案...

24510
来自专栏域名资讯

一域名一年前六位数终端易主 是为了......

一年前,域名Acuris.com被曝以4.4万美元,超30万元终端易主,现如今已建站。域名Acuris.com在英文语境中并无特别含义,但是却对应西...

19710
来自专栏FreeBuf

Petya真的没那么简单!北约呼吁发起联合调查,US-CERT发布警报

北约(NATO)认为Petya大规模袭击可能是国家层面的攻击。Petya和WannaCry这种严重的网络安全问题需要国际社会联合响应。 NATO认为近期大规模传...

2825
来自专栏机器人网

IBM新专利:空中完成无人机对接交换包裹

在未来的快递运输中无人机将会扮演重要角色,而需要克服的问题是飞行时间有限,存在被窃风险,以及如何有效管理复杂的运输网络等等。为了解决货运无人机的飞行距离以及防止...

3516
来自专栏域名资讯

国人数百万元买下域名260.com!

2017年10月,精品三数字域名260.com出售,成交价可能在中六位数美元左右,买家为国内投资人。

1920
来自专栏安恒信息

报告:黑客可借漏洞攻击手机银行客户端

安卓系统安全问题一直以来被业界所诟病。近日有安全报告指出,安卓手机系统漏洞严重威胁网民支付安全。利用安卓系统漏洞,黑客可以对手机银行客户端实施注...

2834
来自专栏域名资讯

再爆发!3数字域名792.com曝易主

近段时间,三数字.COM域名交易的消息从未停止过,交易的消息频频出现,如:380.com、758.com、657.com等等。

1906

扫码关注云+社区

领取腾讯云代金券