【TechWeb报道】12月11日消息,近日有媒体报道称京东疑似数据外泄,超过12个G,涉及数千万用户引起了不少用户的恐慌。京东方面今日凌晨对此事进行了回应,京东方面表示,经过京东信息安全部门初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
关于京东数据疑似外泄一事 我们拿到了一份回应
据媒体报道称,近日黑市上出现重磅炸弹,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方均表示,数据来自京东。
该报道自12月9日发布,经历周六的发酵传播,扩散速度非常快。部分京东用户看到报道后,迅速更换了自己的账户密码。当然也有用户表示,信息泄露问题远超于普通用户的想象,“我们在黑客面前早就光着身子了”。
京东在回应中明确表示,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
Struts 2安全漏洞问题是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有的互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。
TechWeb查询公开资料发现,Struts 2是Apache项目下的一个web框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。而其在2013年6月底发布的Struts 2.3.15版本“坑苦”了一众运维工程师。这个版本后来被曝出存在重大安全漏洞,它可以被远程执行服务器脚本代码,带来的直接后果就是破坏系统无法运行。
另一方面则是可重定向漏洞,引导用户点击后进入钓鱼网站,在界面上让用户进行登陆用以获取用户密码。
京东表示,京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
在声明中,京东同时表示,同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。(王卡卡)