昨天晚上,有媒体爆出,在黑市有疑似数据外泄超过12G,涉及数千万用户名、密码、邮箱、QQ号、电话号码、身份证等多维度数据千万条。今天一早,京东对此进行回应,称经初步判断,该数据的确源于2013年Struts 2的安全漏洞问题。
部分京东账号依然可登陆
据了解,最近在地下黑产渠道,这12G数据包再次被明码标价交易,价格从“10万到70万”不等。
12G数据包部分内容截屏
在此之前,这一数据包内的相关信息已被销售多次,至少有超过百个黑产者手里掌握着相同数据。但最近在黑市内,这批数据又开始流通。
尽管,数据库中的部分用户密码都进行过MD5加密(需要专业破解软件,才能得到原密码,用时较长),但已经拿到数据库的媒体,根据部分用户名和破解的密码尝试登陆,发现其中大部分依然可顺利登陆京东账户。登陆后,用户在京东上订单、地址、交易信息都一览无遗。
据了解,部分账户内有余额、或者有代金券的,或许已经在黑客第一遍“洗库”时遭到转移。目前留下的,则基本为交易数据,包括用户名、密码,地址等等。黑客拿到这些数据,还可进行撞库操作。通过这些泄露的用户名、密码尝试批量登录其他网站,获取数据。对于习惯在多个网站上使用同一个用户名和密码的用户来说,安全隐患极大。
因此,安全人士建议:1 紧急更换京东用户名和密码。2 及时更换与京东账户密码使用相同密码平台的信息,以防安全隐患扩大化。
京东回应:三年前泄露的数据
今天上午,京东对此回应:经其信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题。当时,他们已经迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
据挨踢妹搜索相关信息后发现,Struts2 是 Apache基金会项目下的一个web 框架,普遍使用于阿里巴巴、京东等互联网平台,以及政府、企业门户网站。2013年7月,在Struts2框架下,爆发一次严重漏洞危机,当时被业内人士称为“来势凶猛”,导致国内很多银行、政府机构、大部分大中型互联网公司,国外的包括苹果的开发者网站都被黑掉。从京东泄露的事件看,并不能排除还有其他平台数据库依然流传于黑市中。因此,建议用户积极更换常用互联网平台的密码设置。
以下为京东《关于有媒体报道京东数据安全问题的声明》:
昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。