京東用户數據泄露 用户隱私遭曝光

由 万俟傲白 發佈於 綜合

      京東用户數據泄露,用户隱私曝光。10日晚,網絡曝出黑市重磅“炸彈”,一個12G的數據包開始流通,其中包括用户名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度,數據多達數千萬條,黑市買賣雙方皆稱,這些數據來自京東。信息在一番流傳之後,數據包也身價倍增,價格被定為10萬-70萬之間不等。

    京東用户數據泄露 用户隱私遭曝光

      京東集團11日回應表示,初步判斷該數據源於2013年Struts2的安全漏洞問題,當時已迅速完成修復。

      【爆料】

      數據已被多次倒手

      據業內人士稱,數據已被銷售多次,“至少有上百個黑產者手裏掌握了數據”。

      “數據外泄的時間已比較長了,至於為何現在又流通,原因未明,”業內人士透露,暫且很難確認是“內鬼”還是“黑客盜取”。

      業內人士稱,大部分數據外泄後,黑客會先進行洗庫,登錄賬户將有價值的內容清洗一遍,比如登錄遊戲賬户,將虛擬幣轉走。一般這個清洗過程,需要幾個月甚至更長時間。

      第二次“洗庫”,才會將數據出售,“數據價值榨取殆盡了,再給市面上的人來分渣”。

      值得注意的是,這些數據的用户密碼都進行過MD5加密,要通過專業破解軟件,才能得到原密碼。

      業內人士稱,一般MD5破解需要一定時間,但有些密碼在數據庫中已被其他人解密過,能瞬間破解,比如123456;如果是一個新密碼,破解時間就較長。

      可瞬間破解的賬號,一般只佔3%-5%。

      【隱患】

      “撞庫”或破解更多信息

      記者嘗試根據部分用户名和破解的密碼登陸,確實大部分可登陸京東賬户。

      登陸之後,用户在京東上的訂單、地址、交易等信息都一覽無遺。

      甚至記者從數據庫中搜索自己名字,發現信息也早已外泄。

      “黑客拿到這些數據,還可進行撞庫操作”,業內人士稱。

      所謂“撞庫”,是一個黑產的專業術語。

      就是黑客會通過已泄露的用户名和密碼,嘗試批量登錄其他網站,獲取數據。

      這就是人類設計密碼的缺陷,大部分人為了記得住,都會用同一個用户名和密碼,導致撞庫成功率極高。

      傷害值最高最直接的,就是撞進一些金融賬户,直接將資金轉走。

      【回應】

      京東發聲明:

      極少用户存在風險

      建議升級賬號安全

      京東集團在11日凌晨發表聲明,稱該數據源於2013年Struts2的安全漏洞,已經完成修復。京東在聲明中表示,在Struts2的安全問題發生後,迅速完成了系統修復,同時針對可能存在信息安全風險的用户進行了安全升級提示,當時受此影響的絕大部分用户都對自己的賬號進行了安全升級,但確實仍有極少部分用户並未及時升級賬號安全,依然存在一定風險。

      此外,京東還建議用户高度重視信息安全和隱私保護,在涉及財產的電商、支付系統中開啓手機驗證和支付密碼,並將登錄密碼和支付密碼設為高強度的複雜密碼,提高賬户安全等級。

      同時,針對出現在地下黑色產業鏈中採用黑客攻擊用户賬户、盜取用户賬號資產和販賣用户信息等不法行為,京東已與警方建立了長效的合作機制,並將聯合警方進行堅決的打擊。

      據瞭解,Struts為廣泛應用於互聯網企業、金融機構等網站建設的開源項目,2013年漏洞被爆出後,該項目團隊發佈了更新版本解決上述問題。

      【絕非孤案】

      數據外泄總有“內鬼”

      實際上,京東已不是第一次被曝數據外泄。

      2015年,京東就被曝出大量用户隱私信息泄露,多名用户被騙走金錢,總共損失數百萬。

      直到一年後,京東才公佈調查結果,稱是因為出現“內鬼”。

      所謂的“內鬼”,是3位物流人員,通過物流流程,掌握了用户姓名、電話、地址、何時下單、所購貨物等信息,總數據達到9313條。

      而電商平台,一直是數據泄漏的重災區之一。

      2014年年初,支付寶被爆20G用户資料泄漏。

      後經調查,此次泄漏是“內部作案”:支付寶前技術員工李明,利用職務之便,多次在公司後台下載用户資料。

      這20G資料,包括用户個人的實名、手機、電子郵箱、家庭住址、消費記錄等,相當精準。李明和兩個同夥,將用户資料按條數出售,價格不等,價值較高的,一條可賣數十元;也有人以500元的代價,購買了3萬條用户信息。

      這個故事中更有意思的部分是,購買這些數據的買家,都是“友商”,比如其他電商平台。

      除了支付寶,早在2012年,1號店被曝網上商城員工與離職、外部人員內外勾結,90萬用户資料泄露,價格只需500元。可見“內鬼”是電商信息泄漏的重要原因,除此之外,電商平台由於自身技術漏洞,被黑客戳中軟肋,盜走數據,也是常見現象。

      電商平台安全風險集中爆發

      2014年,是電商平台安全風險集中爆發的一年。

      3月,噹噹網113位用户賬户餘額被盜用。黑客先是盜取用户登錄信息,然後修改用户綁定手機、郵箱地址等信息,最後購買電子產品等貴重商品。

      噹噹網在輿論重壓下,宣佈給予用户補償。

      同月,烏雲漏洞平台曝光攜程系統存技術漏洞,可導致用户個人姓名、身份證號碼、銀行卡類別、銀行卡卡號和銀行卡用於支付的6位Bin碼等重要信息泄露。

      而攜程隨後發佈聲明表示,確認共93人賬户存安全風險,已通知相關用户更換信用卡。

      年底,中國鐵路購票網站12306的6個子網站存在高危漏洞,致數十萬條用户數據外泄,包括用户賬號、明文密碼、身份證、郵箱等敏感信息在內的數據被販售。12306宣佈懸賞、號召網友查找漏洞。

      不論是內鬼作祟還是黑客攻擊,無非都是利益驅動。

      【貼士】

      多個網絡賬户別用同樣的用户名和密碼

      儘管此次的所謂數據外泄事件帶來的危險可能並不大,不過出於安全考慮,不能做吃瓜羣眾,要正視下面幾個小貼士:

      強烈建議在涉及到財產的電商、支付類系統中使用獨特的用户名和密碼,避免被“撞庫”攻擊的風險;

      不要把敏感信息如銀行卡、身份證等信息隨意暴露在網上,尤其是現在的社交網站,注意個人信息的安全;

      注意保護個人電腦、手機等信息終端的信息安全,不要讓病毒入侵、植入木馬等;

      注意甄別網絡安全,不要被各類虛假信息迷惑,進入釣魚網站;

      對於打着電商客户名義而來的電話、QQ應該格外小心,避免點擊通過即時通訊軟件發過來的所謂退貨、用户中心網址。

    版權聲明:本文源自 網絡, 於,由 楠木軒 整理發佈,共 2934 字。

    轉載請註明: 京東用户數據泄露 用户隱私遭曝光 - 楠木軒