月光博客 » 业界动态 » 京东12G用户数据外泄

京东12G用户数据外泄

  12月10日晚间,有消息称京东超12G数据疑似外泄,涉及数千万用户。京东昨日凌晨紧急回应称,该数据源于2013年Struts 2的安全漏洞问题,京东当时就已完成系统修复并提示用户安全升级。同时,仍有极少部分用户并未及时根据系统提示升级账号安全,依然存在一定风险。

  上周六晚,有自媒体发文称一个12G的数据包在黑市上流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,并指数据来自京东。昨日凌晨,京东回应称,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,京东在Struts 2安全问题发生后就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户未按提示升级账号安全,存在一定风险。

  对此,京东强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

  京东表示,经其信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

  经了解,Struts为Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,包括电商、银行、政府等诸多网站均受影响。

  以下是京东关于数据泄密的声明:

  关于有媒体报道京东数据安全问题的声明

  2016-12-11 京东黑板报

  昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

  京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

  同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

  Ps: Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有的互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    绿小明明小红   说道:
    讲个笑话,网络实名制
    支持(5反对(0回复
  1. 2
    ___熊_   说道:
    曾经有一次着急支付,在京东上绑了信用卡,后来觉得不放心就删了,没想到后来京东自己有支付了,这个卡又自己冒出来了。
    支持(4反对(0回复
  1. 3
    知行没合一   说道:
    瞬间觉得京东金融是个坑
    支持(3反对(0回复
  1. 4
    LiuShouhuiSVIP   说道:
    乌云维护了半年了,关掉了吗?
    支持(2反对(0回复
  1. 5
    杨明4417   说道:
    认了还算有良心
    支持(1反对(0回复
  1. 6
    错对象了   说道:
    隐私安全是个笑话。别拿隐私当回事就对了。私下持有0day的黑客,在互联网上,来去如履平地一般。
    支持(1反对(0回复
  1. 7
    浮舟   说道:
    再强的密码也抵不过不加盐的数据库泄密。
    支持(1反对(0回复
  1. 8
    火星蜀黍G5   说道:
    这意思就是2014年新注册用户安全喽?
    支持(1反对(0回复
  1. 每次都是泄露之后提醒用户更新密码,然后就没有然后了。
    支持(1反对(0回复
  1. 10
    软件民工2015   说道:
    2013年的漏洞,现在还能用,说明京东根本就没有打补丁啊,这样谁还敢用他的网站?用了就是把资料提供给诈骗犯啊。
    支持(2反对(1回复
  1. 11
    吉immy   说道:
    用明文保存密码,这种企业居心何在,自己还没等用,就泄露了,害人害己。
    支持(1反对(0回复
  1. 哈哈哈,没准能找到失散多年的小伙伴
    支持(0反对(0回复
  1. 13
    东风醉李   说道:
    密码还是明文保存?!?不会吧
    支持(0反对(0回复
  1. 14
    耐门中尉   说道:
    京东可不止登录密码,还有支付密码要改,还有绑定的信用卡,都得删了。
    支持(0反对(0回复
  1. 15
    meOrz   说道:
    所以我的最后一套密码也没了吗,明文保存密码的都是渣渣公司。
    支持(0反对(0回复
  1. 16
    ShinChven   说道:
    他们用的明文密码吗?
    支持(0反对(0回复
  1. 17
    旭日鹏飞   说道:
    之前账号丢了,好像就是2013年,想找回都没办法,因为和账号绑定的邮箱和手机号都改了~太夸张了
    支持(0反对(0回复
  1. 18
    那是一只胖猫   说道:
    所以应该怎么办呢
    支持(0反对(0回复
  1. 19
    天使_撒旦   说道:
    京东这种垃圾能不用就别用
    支持(0反对(0回复
  1. 20
    BENSGO   说道:
    京东说数据几年前就被盗了,真会甩锅
    支持(0反对(0回复
  1. 21
    WaitForSingleObjec   说道:
    赶紧把密码改了
    支持(0反对(0回复
  1. 22
    上云之巅   说道:
    12g的陆小凤传奇,23333
    支持(0反对(0回复
  1. 23
    Allenlee_CKEU   说道:
    京东不用负法律责任吗?
    支持(0反对(0回复
  1. 24
    科成-杨仕友   说道:
    这得多少个用户资料泄露了呢?
    支持(0反对(0回复
  1. 25
    weilue   说道:
    赶紧改密码,所有和京东有关的电话和短信都要倍加小心
    支持(0反对(0回复
  1. 26
    软件民工2015   说道:
    基于密码的安全体系应该淘汰了。所有的商业支付,都应该用不对称密钥算法来做。硬件密钥结合密码是最安全的。硬件可防止所有网络穷举攻击,而密码可以防止熟人盗用硬件。现在的密码体系,出了问题都说不清是谁的责任。另外,京东如果保存了密码而不是hash值是低级错误,应该赔偿密码泄漏造成的损失。
    支持(0反对(0回复
  1. 27
    空谈妄想   说道:
    这些公司怎么都存明文密码
    支持(0反对(0回复
  1. 28
    蓅星小雨   说道:
    多次数据泄露事件反应了目前互联网公司的数据保护是多么脆弱,也体现了国家对这方面管理的滞后,这种数据的泄露不仅仅是一个公司的东西丢了,个人信息的价值和破坏力是无法估量的,没有能力保护个人信息的公司不应该有采集个人信息的权利。
    支持(0反对(0回复
  1. 29
    家乡卢龙   说道:
    那里说密码明文保存了?
    支持(0反对(0回复
  1. 30
    要命   说道:
    如何查询自己的账号是否被泄露呢?
    支持(0反对(0回复
  1. 31
    刘璐   说道:
    密码丢了还可以改,泄露的身份证号码和电话怎么办?又给骗子报材料了呀
    支持(0反对(0回复
  1. 32
    Kok   说道:
    二手东已死,哈哈哈。。。
    支持(0反对(0回复

发表留言