专栏名称: 电子商务研究中心
中国电子商务研究中心(www.100ec.cn)是国内一流的专业电商研究机构;综合电商服务机构;专业电商网媒门户。获取电商要闻/评论/数据/报告/会议/信息图/实战干货。立刻添加微信号:“i100EC”,加入电商人聚集的大家庭。
目录
相关文章推荐
电商行业  ·  淘宝买东西别忘了“砍一刀” ·  2 天前  
蛋先生工作室  ·  11月20日淘汰鸡行情 ·  3 天前  
电商报Pro  ·  被退货逼疯的商家,集体关闭运费险 ·  3 天前  
TK增长会  ·  TikTok创业项目的选择,给我的教训最深 ·  3 天前  
猎云精选  ·  京东七鲜,成为即时零售价格“卷王” ·  4 天前  
51好读  ›  专栏  ›  电子商务研究中心

【重磅】传京东12G用户数据外泄 波及数千万人? 真相竟然是……

电子商务研究中心  · 公众号  · 电商  · 2016-12-11 20:59

正文

导读

  最近,黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条,而黑市买卖双方皆称,这些数据来自京东。对此,京东表示该数据源于2013年Struts 2的安全漏洞问题,提醒用户紧急更换密码。

而最近,因为这12G的数据包,黑产再次被搅动。

  一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等

  ▲ 外泄数据部分截图

  ▲ 数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等

  据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。

  “数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。

  业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。

  第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。

  值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。

  业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。

  可瞬间破解的账号,一般只占3-5%

部分京东帐号能成功登录

  记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。

  登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。

  甚至记者从数据库中搜索自己名字,发现信息也早已外泄。

  “黑客拿到这些数据,还可进行撞库操作”,业内人士称。

  所谓“撞库”,是一个黑产的专业术语。

  就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。

  这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。

  伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走

京东:源于3年前安全漏洞 提醒用户紧急更换密码

    经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

    京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

    同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

电商成信息泄露“重灾区"

  据中国电子商务研究中心(微信号:i100ec)近年来监测了解,信息泄露已成为互联网行业顽疾,而电商平台,一直是数据泄漏的重灾区之一。

  2014年年初,支付宝被爆20G用户资料泄漏。

  后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。

  这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。

  李明和两位同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。

  这个故事中更有意思的部分是,购买这些数据的买家,都是“友商”,比如其他电商平台。

  除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。

  可见“内鬼”是电商信息泄漏的重要原因,除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。

  2014年,是电商平台安全风险集中爆发的一年。

  3月,当当网113位用户账户余额被盗用。

  黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。当当网在舆论重压下,宣布给予用户补偿。

  同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。

  而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。

  年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。

详见中国电子商务研究中心独家专题:

  《用户交易信息泄露 透视电商支付安全》www.100ec.cn/zt/anl_2013zfb/

  《携程被曝“支付漏洞” 引发互联网安全问题》www.100ec.cn/zt/xcxxxl/

  《账户被盗成顽疾 退款屡现“潜规则” 拷问窝窝团您的用户体验呢?》www.100ec.cn/zt/wwt/

  《账户被盗敲警钟 虚假促销遭质疑 剖析当当网不安全的购物结症》www.100ec.cn/zt/ddw/

  《频频信息泄露 霸王条款 1号店遭遇诚信大考》www.100ec.cn/zt/yhd/

(点击查看高清大图,点击原文查看京东“五环”战略生态专题)

八大措施保护信息安全

1,安全支付系统存在漏洞,用户的支付日志可被轻易下载,导致大量用户银行卡信息(包含持卡人姓名身份证、银行卡号、密码等)泄露,需要迅速登录相应网站支付系统,检查交易记录、银行流水。包括一些小额银行消费记录,因为有些银行短信通知有额度规定,往往被忽略。

  2,立即修改密码,并且牢记下来。

  3,不要图省事,不要将同一密码用在不同网站。可以用笔记下秘密保存。

  4,如果你有两个手机号,把捆绑的手机号(手机登录)修改成另外一个手机号,并同时修改密码。

  5,不同互联网公司之间有些数据共享,有时离奇地出现“撞库”事件,因此,如果获悉一家网站信息泄露,同时也要尽可能地把名下涉及财产安全的密码都改一遍。

  6,日常使用信得过的杀毒软件,不去信不过的网站上填写信息,下单购物。尽量不要图省事使用一键下单之类设置,这类设置被劫持的可能性大于密码填写类操作。

  7,一般三个月(定期)换一次密码。

  8,有些网站推出账户安全保险类服务,视个人情况购买,可以花钱买放心。

  【电商信息泄露维权案例征集】

  消费者遇到电商账户泄漏等问题,均可通过“网络账户信息泄露维权专用通道”(www.100ec.cn/zt/315_qy/)进行在线投诉。我们将在收到后工作日24小时内,核实、受理、督办,并责令上述电商24小时内给予满意处理结果,无法和解的投诉案件则将交由我们另行介入处理。针对未加入“绿色通道”的电商、O2O、互联网金融企业,我们将披露案件,监督落实整改。(来源:中国电子商务研究中心综合报道)

相关阅读

【曝光台】优购网疑信息泄露:140余人遭神秘“客服”盗刷上百万元(防火防盗防“客服”)

【曝光台】滴滴、快的、Uber专车用户信息在淘宝标价售卖!(你中枪了吗?)

【曝光台】阿里巴巴速卖通现安全漏洞 百万用户信息可能泄露!

【电商头条】携程安全支付信息泄露 用户银行卡信息曝光

【揭秘】我们被盗的个人信息在黑市里值多少钱?又是怎么泄漏的?



(点击查看高清大图,获取电商主流新媒体资源)

中国电子商务研究中心(100EC.CN)

我们】中国电子商务研究中心,“互联网+”国家战略民间智库,并运营国内领先电商资讯门户100EC.CN

【推荐】

网购投诉平台”(DSWQ315);(2)互联网金融理财神器:“互联网金融时代”微信号:hlwjrsd100

投稿[email protected],057187756579