关注这个不一样的微信号:钛媒体 ( ID:taimeiti )
数据之痛,已让所有人感同身受。然而,这个问题,却不是做好安全工作就能解决的。除了技术,还得防住人性的贪婪。
钛媒体注:
针对媒体广泛传播的
京东数据疑似大量外泄问题,京东今天发布声明承认,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
数据之痛,安全问题已成为非常重要的因素了。以下是作者“一本财经”关于京东12G数据外泄,并且被明码标价的全文,钛媒体授权发布:
最近,黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。
而黑市买卖双方皆称,“这些数据来自京东。”
数据
之迷
最近,因为这12G的数据包,黑产再次被搅动。
一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。
▲ 外泄数据部分截图
▲ 数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等
据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。
“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。
业内人士称,
大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。
第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。
值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。
业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。
可瞬间破解的账号,一般只占3-5%。
记者(注:一本财经记者)尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。
▲ 姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)
登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。甚至一本财经记者从数据库中搜索自己名字,发现信息也早已外泄。
“黑客拿到这些数据,还可进行撞库操作”,业内人士称。所谓“撞库”,是一个黑产的专业术语,即黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。
这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。
伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。
今日,京东就此事发出声明称(文末附声明全文),这些数据源于2013年Struts 2的安全漏洞问题,导致大量数据泄露。
京东称,在Struts 2的安全问题发生后,就完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
绝非孤案
实际上,京东已不是第一次被曝数据外泄。
2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。
所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。
而电商平台,一直是数据泄漏的重灾区之一。
2014年年初,支付宝被爆20G用户资料泄漏。后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。
这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。
