专栏名称: 51CTO
51CTO官方公众号——聚焦最新最前沿最有料的IT技术资讯、IT行业精华内容、产品交流心得。本订阅号为大家提供各种技术干货,还会不定期的举办有奖活动,敬请关注。
目录
51好读  ›  专栏  ›  51CTO

京东摊事了!12G用户数据泄露,你的身份证密码电话QQ号正触手可及,赶紧这么做!

51CTO  · 公众号  · 科技媒体  · 2016-12-12 11:40

正文

本文转载自黑客技术与网络安全(ID:HackerCoder)


来自:21财闻汇(微信号:jiayou21cbh)

21财闻汇综合自:创业邦杂志(ichuangyebang,部分资料参考自公众号一本财经、京东黑板报、网易科技、IT桔子、第一财经、47号、人民日报等)、雷锋网(作者:李勤)、安卓资讯(news.hiapk.com)、快科技




12个G!身份证、密码、电话,京东数据遭泄露?

12月10日,财经类媒体“一本财经”独家报道称,最近黑市上流通着12G疑似京东的数据包。黑市买卖双方皆称,“这些数据来自京东。” 数据包里的信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等等,数据多达数千万条。


而且一些地下渠道,已经开始对数据进行明码标价交易,价格从“10万到70万”不等。从这里边我们可以算出,每一个用户的个人敏感信息平均只值1分钱。

▲ 外泄数据部分截图

据业内人士透露,数据已被销售多次, “至少有上百个黑产者手里掌握了数据”。一本财经的文章中表示:业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。


值得注意的是,雷锋网的编辑得知消息后,就积极表示要去下载网络流传的 12G 数据包一探真相,结果这份网传的数据包下载下来后是——《侠僧探案传奇》。


也许,这些“珍贵”的数据包目前尚在黑产行业流传,通过公开渠道无法获得。


京东凌晨紧急回应,网友:呵呵

京东12月11日凌晨就发出公告,官方回应,那是2013年的事。不过,用户似乎并不买账。在微博上,“京东用户数据遭外泄”迅速上了微博热搜榜,京东官方微博下面,用户声讨声音不少。





为了更好地理解这份声明,雷锋网编辑在文中加入了括号进行解读。

经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。

(初步判断这不是一则假新闻,但是事情发生得比较早啦,都是3年前发生的,当时不是京东一家躺枪——还有政府和银行。)


京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。

(放心,这个问题发生后,京东就行动了,所以你们看到的是“旧闻”,没有曝光的那么夸大。)


但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

(不过,还是有少量用户信息泄漏,但不怪京东,是用户没有及时升级帐户安全。)


京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

(京东是很重视信息安全的!)


同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

(你们这些黑产,再搞事我就跟警察蜀黍说!)


Ps: Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有的互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。

(你们没有搞清楚 Struts 漏洞是什么,再强调一遍,别人也都在用,也几乎都泄漏了!)




京东曾多次泄露用户数据 

事实上,这并不是京东第一次遭遇数据外泄风波。


2015年315前夕,京东被曝出大量用户隐私信息遭到泄露。当时京东方面给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。


舆论当时对京东的解释也不买账,有媒体质疑认为,如果真是撞库,同一时间为何其他电商网站没有曝出用户信息被窃,本质上是因为京东不愿意承认存在“安全漏洞”问题。


这次风波的后续在今年4月以一条社会新闻收场。法制晚报报道称,京东商城3名员工越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子,据报道3人总共非法获利近4万元


这起案件公开后还曝光了一个惊人的细节:京东商城的客户信息系统,涉案3人是没有登录权限的。但根据报道,京东商城存在有系统登录权限的员工的登录ID、密码被无系统登录权限的其他员工“共享使用”的情况。


而在此前,京东的用户信息泄露的传闻也不断。2014年2月,有网友在新浪微博爆料称,京东用户数据库资料遭泄露,建议账户有资金的人尽快处理。


2011年12月27日,WooYun.org爆出了京东商城用户数据泄露的漏洞,大量的用户账号和密码被公开。


个人信息数据泄露年年有 , 影响用户高达上亿!

据IT桔子、一本财经等媒体整理,这些年来,除了京东,被爆出来的大公司数据泄露案件实在是不少,影响用户都是上亿级。

  • 2015年10月,支付宝实名认证漏洞,同一用户发现自己的实名认证多了五个未知账户,原因是“个人信息泄漏”。

  • 2015年10月,网易过亿数据泄漏,绑定网易邮箱为icloud的iphone用户手机被锁,甚至遭到敲诈。

  • 2015年8月, 乌云漏洞报告平台称,大麦网600多万用户账号密码泄露,原因是“技术漏洞”。

  • 2014年初,支付宝被爆20G用户资料泄漏,经调查也是“内部作案”。是支付宝技术员工利用职务之便,在公司后台下载了用户信息数据,包括用户实名、手机、电子邮箱、家庭住址、消费记录等。

  • 2012年,1号店被爆90万用户资料泄漏,价格只需500元,原因是“内外勾结”。


除了互联网公司,非互联网行业有数据泄漏的案件发生。其中有名的包括:

  • 12306用户信息泄露。

  • 高考考生数据信息泄露,导致考生被骗学费后自杀。

  • 工行快捷支付被爆曝存在严重漏洞,多位北京地区的工行储户遭遇了存款被盗事件。犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。

  • 2015年10月,中国电信上亿用户信息泄漏, 涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。


根据Gartner报告,到2020年,全球将有 30 %的企业被黑产从业者或者黑客直接入侵。


八成网民遭到过信息泄露

11月21日发布的《中国个人信息安全和隐私保护报告》称,在报告抽取104.86万份调查问卷为样本中显示:

  • 超七成参与调研者认为个人信息泄露问题严重。26%的人每天收到2~3条甚至更多的垃圾短信;20%的人每天收到2~3个甚至更多的骚扰电话。

  • 同时,多达81%的参与调研者经历过对方知道自己的姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰。

  • 租房、购房、购车、车险、升学等信息泄漏后被营销骚扰或诈骗高达36%。


一本财经有一句话说的非常对:

黑产之手,已延伸到普通百姓生活,并到了触手可及的地步。


人民日报的文章中曾称:目前,至少78.2%的网民个人身份信息被泄露过;63.4%的网民个人网上活动信息被泄露过;82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。


仅在2015年一年,中国网民因信息泄露问题,导致的损失是 805 亿人民币。而这只是对外公开的可查数据。


根据中国互联网络信息中心发布的最新数据显示:2015年黑产收入达到千亿级级别,2015年全球网络犯罪的年成本为 3 万亿美元 。


赛门铁克发布的第21期《互联网安全威胁报告》(ISTR)中指出:2015年网站每天会遭遇超过 100 万个网页攻击。因管理员未能及时安装最新补丁,约 75 %的网站存在安全漏洞。这使得攻击者得以不断利用网站中的漏洞来感染更多用户。


而我们的个人信息在黑产市场上则是非常便宜.....



面对信息泄露,普通用户如何补救、避免?

如果你怀疑自己的数据属于被泄漏,那么,你要跑赢骗子!以下是公众号47号(作者:魏一白),腾讯科技(作者 :卜祥)整理的几点攻略,供大家参考:

  1. 现在、立刻、马上、首先、第一个要做的事情是改密码。修改的不仅仅是京东的账号密码,微信、微博、QQ,所有日常使用的网络服务密码统一修改一遍。

  2. 不要图省事,不要将同一密码用在不同网站。尤其是那些使用了和你身份证号、姓名有相关的密码,请一定修改成不相关的密码。否则,黑客还是可能会利用你的个人信息去试其他账户,如果你是比较懒的用户,许多软件、网站用的都是一个密码,那黑客就可以直接进行破解辣。

  3. 如果你有两个手机号,把捆绑的手机号(手机登录)修改成另外一个手机号,并同时修改密码。

  4. 有些网站推出账户安全保险类服务,视个人情况购买,可以花钱买放心。


如果你确定自己不在这次泄漏信息之中,那么恭喜你,但也请你定期更新密码,因为,你以为安全的未必就是安全的。


关于使用的密码,有几点建议:
  1. ,长总归是好的,你输入有点费劲,别人破解也比较费劲;

  2. 复杂,123456789abcdefg虽然很长,但是……

    基础建议:大小写字母+数字=16位密码

    升级版:大小写字母+数字+标点符号

  3. ,别所有账号都用一个密码,如果觉得记不住,教个简单的方式,相关性:密码1是47haoShiyanshi,密码2可以是69ibpTijzbotij。还不行,那我只能说,脑子是个好东西。


养成良好的上网习惯:
  1. 虽然很多人有“杀毒软件无用论”,但那是针对有非常良好网络使用习惯的人的,比如我,如果你辨别不出ta0bao.com和taobao.com的区别,还是尽量使用安全软件的比较好。

  2. 不要到哪都找WIFI,尤其是没有密码的共享WiFi。

  3. 多读书,少上网











长按下方二维码,关注51CTO官方微博

新鲜麻辣的IT技术资讯

酷炫多彩的程序员世界

有料及时爆, 干货免费到