京东12G用户数据外泄，京东官方承认：源于2013年安全漏洞

文｜周天

最近，一个12G的数据包开始流通。

其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息，数据多达数千万条。黑市上的买卖双方皆称，这些数据来自京东，一本财经报道了这一消息。 

京东今日在微信公号中承认了这个事实。并表示，3年前数据外泄之后，“确实仍有极少部分用户并未及时升级账号安全，至今依然存在一定风险。”

京东称，经京东信息安全部门依据报道内容初步判断，该数据源于2013年Struts 2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构都受到影响，导致大量数据泄露。

京东官方还称，在Struts 2的安全问题发生后，就完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。”

京东试图澄清，这个问题并非京东独有，“2013年，据乌云平台漏洞报告，Struts 2安全漏洞可让黑客直接通过浏览器对服务器进行任意操作并获取敏感内容，国内几乎所有互联网企业，以及大量国内外银行和政府机构都出现了不同程度的信息泄露。Struts是Apache基金会的一个开源项目，广泛应用于大型互联网企业、政府、金融机构等网站建设，作为网站开发的底层模板使用。”

据业内人士称，这12G数据已被销售多次，“至少有上百个黑产者手里掌握了数据”，“数据外泄的时间已比较长了，至于为何现在又流通，原因未明，”暂且很难确认是“内鬼”所为还是“黑客盗取”。

业内人士称，大部分数据外泄后，黑客会先进行“洗库”，登录账户将有价值的内容清洗一遍，比如将游戏账户里的虚拟币转走。一般这个清洗过程，需要几个月甚至更长时间。

第二次“洗库”，才会将数据出售，“数据价值榨取殆尽了，再给市面上的人来分渣”。

这些数据的用户密码都进行过MD5加密，要通过专业破解软件，才能取得原密码。业内人士称，一般MD5破解需要一定时间，但有些密码在数据库中已被其他人解密过，能瞬间破解，比如123456；如果是一个新密码，破解时间就较长。

可瞬间破解的账号，一般只占3-5%。记者尝试根据12G数据包中的用户名和破解的密码登陆，确实大部分可登陆京东账户。登陆之后，用户在京东上的订单、地址、交易等信息都一览无遗。

“黑客拿到这些数据，还可进行撞库操作”，业内人士称。

“撞库”是一个黑产专业术语——就是黑客会通过已泄露的用户名和密码，尝试批量登录其他网站，获取数据。伤害值最高的，就是撞进一些金融账户，直接将资金转走。

一个公开的数字是，中国互联网协会称，仅去年一年，中国网民因信息泄露问题，导致的损失是805亿人民币。

数据之痛，已成切肤之痛。

推荐阅读

点击下方图片即可阅读

为什么越学反而越蠢？碎片化学习是个骗局 | 周末漫谈