昨日(12月10日),媒体“一本财经”独家报道称,
最近黑市上流通着12G疑似京东的数据包,
信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等,
数据多达数千万条,引起了用户的恐慌。
记者尝试根据部分用户名和破解的密码登陆,
大部分可登陆京东账户。
▲ 姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)
登陆之后,
用户在京东上的订单、地址、交易等信息都一览无遗。
甚至“一本财经”记者从数据库中搜索自己名字,
发现信息也早已外泄。
业内人士称:
“黑客拿到这些数据,还可进行撞库操作”。
所谓“撞库”就是黑客会通过已泄露的用户名和密码,
尝试批量登录其他网站,获取数据。
京东今日在微信公号中承认了这个事实。
并表示,3年前数据外泄之后,
“确实仍有极少部分用户并未及时升级账号安全,至今依然存在一定风险。”
今天上午,@京东 官方微博也发布了同样的声明
京东在回应中明确表示,
该数据源于2013年Struts 2的安全漏洞问题。
▲ 京东回应截图
Struts 2安全漏洞问题是Apache基金会的开源项目,
普遍应用于阿里巴巴、京东等互联网、政府、企业门户网,
并作为网站开发的底层模板使用。
2013年,据乌云平台漏洞报告,
Struts 2安全漏洞可以让黑客可直接通过浏览器
对服务器进行任意操作并获取敏感内容。
这个版本后来被曝出存在重大安全漏洞,
它可以被远程执行服务器脚本代码,
带来的直接后果就是破坏系统无法运行。
另一方面则是可重定向漏洞,
引导用户点击后进入钓鱼网站,
在界面上让用户进行登陆用以获取用户密码。
这些年来,被爆出来的大公司数据泄露案件实在是不少,影响用户都是上亿级。
原因基本都是黑客找到网站漏洞,然后拿去卖钱。总结起来就是,有利可图。
2015年,京东被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。一年后,京东公布调查结果,称是因为出现“内鬼”。“内鬼”为3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。
2015年10月,支付宝实名认证漏洞,同一用户发现自己的实名认证多了五个未知账户,原因是“个人信息泄漏”
2015年10月,网易过亿数据泄漏,绑定网易邮箱为icloud的iphone用户手机被锁,甚至遭到敲诈。
2015年8月, 乌云漏洞报告平台称,大麦网600多万用户账号密码泄露,原因是“技术漏洞”。
2014年初,支付宝被爆20G用户资料泄漏,经调查也是“内部作案”。是支付宝技术员工利用职务之便,在公司后台下载了用户信息数据,包括用户实名、手机、电子邮箱、家庭住址、消费记录等。
2012年,1号店被爆90万用户资料泄漏,价格只需500元,原因是“内外勾结”。
除了互联网公司,非互联网行业有数据泄漏的案件发生。
12306用户信息泄露。
高考考生数据信息泄露,导致考生被骗学费后自杀。
工行快捷支付被爆曝存在严重漏洞,多位北京地区的工行储户遭遇了存款被盗事件。犯罪分子借助非法途径截获短信验证码,轻而易举地盗窃存款。
2015年10月,中国电信上亿用户信息泄漏, 涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。
根据Gartner报告,到2020年,全球将有 30 %的企业被黑产从业者或者黑客直接入侵。
如果你怀疑自己的数据属于被泄漏,那么,你要跑赢骗子!
以下是几点攻略,供大家参考:
1、现在、立刻、马上、首先、第一个要做的事情是改密码。修改的不仅仅是京东的账号密码,微信、微博、QQ,所有日常使用的网络服务密码统一修改一遍。
2、不要图省事,不要将同一密码用在不同网站。尤其是那些使用了和你身份证号、姓名有相关的密码,请一定修改成不相关的密码。否则,黑客还是可能会利用你的个人信息去试其他账户,如果你是比较懒的用户,许多软件、网站用的都是一个密码,那黑客就可以直接进行破解辣。
3、如果你有两个手机号,把捆绑的手机号(手机登录)修改成另外一个手机号,并同时修改密码。
4、有些网站推出账户安全保险类服务,视个人情况购买,可以花钱买放心。
如果你确定自己不在这次泄漏信息之中,那么恭喜你,但也请你定期更新密码,因为,你以为安全的未必就是安全的。
关于使用的密码,有几点建议:
长,长总归是好的,你输入有点费劲,别人破解也比较费劲;
复杂,123456789abcdefg虽然很长,但是……基础建议:大小写字母+数字=16位密码。升级版:大小写字幕+数字+标点符号。
多,别所有账号都用一个密码,如果觉得记不住,教个简单的方式,相关性:密码1是47haoShiyanshi,密码2可以是69ibpTijzbotij。还不行,那我只能说,脑子是个好东西。
养成良好的上网习惯之一,虽然很多人有“杀毒软件无用论”,但那是针对有非常良好网络使用习惯的人的,比如我,如果你辨别不出ta0bao.com和taobao.com的区别,还是尽量使用安全软件的比较好。
养成良好的上网习惯之二,不要到哪都找WIFI,尤其是没有密码的共享WiFi。
养成良好的习惯之三,多读书,少上网。
网友评论:
@歪传阿Q:wtf 所有密码都一样的我
@西工大西门:吓得我卸载了京东app,这样总不能扣我钱了吧。
@lordaeron-de夏天:我都不记得密码了,我是不是应该买来看一下我密码是多少。
@蓝拳:没事,钱都在支付宝里
@好学生赵研琦:2013年买过的东西的网友:??!excuse me??
@逯之帆:别管哪年的,别管别人泄漏多少,我就问京东你泄漏了没
?
@刁二哈:吓死了我以为10G裸贷门视频又加了2G
来源:一本财经(yibencaijing)、创业邦杂志(ichuangyebang)、京东黑板报(JDBlackboard)、腾讯科技(qqtech)、47号(NowFood)、人民日报等
编辑:daidai
