首页 > 代码库 > 双十二前夕爆京东12G数据泄露的真相是什么

双十二前夕爆京东12G数据泄露的真相是什么

今天早上手机上推送出京东12g数据泄漏的消息,随即搜了下网上的相关新闻,感觉舆论又一次的干了一件惊天地的事情,到底京东的哪所谓的12G的用户信息数据有没有泄漏?舆论为什么齐刷刷的在12月11日突然间爆出此事?网络安全事件为什么频频出现挑战?还是且听马浩周下面的一些个人愚见,如有雷同纯属巧合,(ps:个人观点,不针对不代表任何事情)

技术分享

先来整理下事件的来龙去脉:

通过网络搜索,很自然的就能找到事件发起方,一个叫一本财经的自媒体网站在2016年12月11日01:22分发出的《独家丨京东数据疑似外泄:超过12个G,涉及数千万用户》的文章,随即通过各大新闻网站,IT媒体等网络渠道发出。然后不明真相的我今早8点就看到了相关新闻。

技术分享

京东12G数据泄漏的消息新闻图

事情不到半天的时间里面闹的沸沸扬扬的,京东不可能不知道,早晨9点57分,京东的微博发布《关于有媒体报道京东数据安全问题的声明》:

昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。

京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。

但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

技术分享

京东对于12G数据泄漏的回复

然后在中午12点左右的时候,各大媒体的新闻标题变成了,京东回应12G数据泄漏事件,而且还有各种各样的申明解读,等等各种消息全部散开,不过大多的内容都意思一样:京东不安全,不用京东了。各种谩骂的消息和评论,微博,微信上都炸开了锅!

好了,事情的经过已经叙述的大概清楚了,马浩周要来说说自己的一些观点了,首先,说说这个事件发生的时间很微妙!为什么呢?12月11日放出消息,不管是真是假,12月12日,这个电商营造出来的节日的情况下,打不死京东,也够恶心死京东的。不管能影响多少,但一定会有影响。在知乎和一些评论下面就有一些声音:怀疑有同行或者是某些竞争对手使的招!不过也有一些声音说:这可能是京东搞出来的新闻,马上双十二了,给自己引流下。不管到底是怎么回事,反正这个时间点确实蹊跷的很!

技术分享

双12电商狂欢节图片

再来说说2013年Struts 2的安全漏洞问题,这个漏洞是在2013年6月底发布的Struts 2.3.15版本中被曝出安全漏洞的,漏洞1:可远程执行服务器脚本代码;漏洞2:重定向漏洞;而这个漏洞造成的影响:有苹果、中国移动、中国联通、百度、腾讯、淘宝、京东、Sohu、民生银行等大型企业的网站均遭毒手。而在当时的应对措施就是Apache团队紧急发布了Struts 2.3.15.1安全更新版本,可升级到此版本来解决上述问题。

当年的struts2漏洞的消息传开已经是7月17日了,当时还是在乌云平台上面爆出的(虽然现在乌云好像散了,但还是有过辉煌的),当年马浩周也是经历过这个事情的,一时间基本所有的struts2服务器都出现了此类漏洞,一时间给互联网行业带来了不小的“地震”;

技术分享

2013年7月中旬乌云平台的struts2漏洞说明

当时乌云漏洞平台的漏洞名单中,中国电信、中国联通等运营商部分分站,中科院、工信部、交通部、中国邮政等部分站点,以及腾讯、淘宝、搜狐等大型互联网公司的部分分站均在列,中招的不止是国内网站,苹果开发者网站“宕机”5天后,苹果也终于承认是遭到入侵,业内猜测可能是由于Struts2漏洞,随后Ubuntu的开发者社区也被黑,182万用户数据被盗,尽管数据已经加密,仍然存在一定安全隐患。而那次受影响最严重的是京东,在乌云平台上有十几个漏洞被提交,涉及的站点包括奢侈品站360Top、彩票页面、充值页面、支付成功页面等。

看到这里大概就知道京东的数据为什么会泄漏了吧,其实明眼人就知道,真不怪京东,那次struts2漏洞事件影响过大,而相信这些互联网大企业也都在第一时间封住了“洞口”但还是有漏网的数据泄漏的,事后确实是大多网站都发布了修改密码和用户信息的通知,但为什么时隔这么长时间,京东数据泄漏的消息又能被放出,这也很奇妙!

其实说到这里大家对于京东12G数据泄漏的看法不知道有没有自己的见解,不过既然12G的数据是事实,这点大家还是要注意的,尤其是一直以来没有改过密码的,一定要注意,鉴于网络数据信息的安全,把你的有些数据密码必须要隔一段时间换一下,不然容易出现此类问题。

还有就是提醒大家,不要因为网上出现12G泄漏数据的消息就胡乱下载,因为很多人在今天都已经“中招”了,好的下载完后看了十几集电视剧,葫芦娃什么的,不好的,下载下来电脑中病毒了,所以还是不要胡思乱想了。以免也看起电视来!

双十二前夕爆京东12G数据泄露的真相是什么