首页 > 动态 > 关键词 > 京东用户数据泄露最新资讯 > 正文

京东 12G 用户数据泄露被证实,源自 2013 年的 Struts 2 安全漏洞

2016-12-12 09:16 · 稿源:品玩

昨晚,金融新媒体一本财经曝出了一条信息:一个 12G 的数据包开始在地下渠道流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。

而黑市买卖双方皆称,这些数据来自京东。

一本财经的记者获取了这个数据包,尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。通过在数据库中搜索自己的名字,一本财经的记者甚至发现自己的信息也早已泄露。

今天凌晨,京东就通过其官方微信公众号“京东黑板报”进行了回应:“经京东信息安全部门依据报道内容初步判断,该数据源于 2013 年 Struts 2 的安全漏洞问题。当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。”

也就是说,这些数据是真的。

另外,京东表示:

京东在 Struts 2 的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

那 2013 年的 Struts 2 安全漏洞到底是怎么回事?

软件里的所谓框架,是基于现有技术设计的一个可复用的设计构件,它把原技术变得更加简单易用,同时功能和扩展性更强大。

Struts2 就是一个多用于企业级 Web 应用的框架,而且,它被认为是 Web 开发的宝典级框架之一。国内几乎所有的互联网公司、银行、政府机构等网站都或多或少使用了 Struts2 框架。

2013 年 7 月 17 日,Struts2 的开发者 Apache 基金会发布了该框架的新版本,但非常奇葩的是,在版本更新记录里,Apache 基金会透露了上一版本的一个远程执行漏洞,更加奇葩的是,它们直接公布了一段利用这个漏洞的示例代码。这个漏洞可以被黑客利用,获取网站用户的用户名、密码等各种敏感信息。

使用 Struts2 框架的开发者们,只有通过手动更新的方式,才能修复这个漏洞。也就是说, Apache 基金会在发布新版本的同时,把一个非常危险的漏洞,以及漏洞利用方法直接公诸于众。

Struts 2 安全漏洞的危害有多大?

首先,因为用于企业级应用的底层框架,Struts 2 的远程执行漏洞被恶意利用后,电商网站、视频网站、银行的用户都有泄露的危险。实际上,在 7 月 17 日漏洞被公布当天,国内的白帽子平台乌云上就收到了 100+ 各种漏洞报告,其中不乏国内各大互联网公司,甚至连苹果开发者网站都受到影响。

乌云当时曝出的部分漏洞

这个漏洞还有更严重的一面。由于 Apache 基金会直接公布了利用漏洞的代码,于是,各种傻瓜式窃取网站数据的工具一下涌现出来。安全圈的知名人士道哥还透露,黑客们把越来越多的存在漏洞的网站公布在第三方平台上,更引发了类似杀人比赛一样恶性循环;同时,以前不关注这个漏洞的人也被吸引而来,进一步让局面失控。

道哥当时提醒,“可以不夸张的说,整个中国互联网应该被狠狠的捋了一遍。”

2014 年 9 月,《法制晚报》报道过一个案例,某公司安全测试工程师王某,在看到 Apache 基金会公布的漏洞之后,利用该漏洞入侵了 263 邮箱的服务器,将该邮箱的 1.6 万多家企业用户的数据全部拿下。

这个案例中,263 邮箱属于迟迟未修复漏洞的。其实,很多小网站开发水平有限,他们可能根本就不知道 Struts 2 漏洞的存在,对于黑客来说,这些网站基本就是囊中之物。

在漏洞被官方曝出后,国内各大互联网公司都宣称“第一时间修复了漏洞”,京东当时的回复也是,第一时间就修复了漏洞,业务和用户数据都没有受到该漏洞的任何影响

如果京东“第一时间修复漏洞”的回复属实,那就有另一种可能,在 Struts 2 的漏洞被官方公布前,就已经有黑客发现了该漏洞,并入侵了相关网站。

2013 年 7 月 21 日,道哥在他的微信公众号写到,“先爆个小道消息,据某地下黑客组织成员透露,Struts 这个漏洞在 12 号就有人在批量利用了。”

为什么 3 年以后,才有京东的用户数据被贩卖?

这个问句可能不太准确,因为这些用户数据很可能已经被多次转手。最早曝出该消息的一本财经也在报道中表示,据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。而为什么现在再次流通,“原因不明”。

有一种可能是,数据泄露后,黑客们会先进行“洗库”,即将有价值的账户先洗劫一遍,之后,才会把数据拿到黑市上销售。这个过程中,黑客还要对加密过的密码进行破解,以及去别的网站“撞库”,即使用相同的帐号、密码,尝试登录其他网站。

所以,现在流通的这份数据,很可能已经是价值已经被压榨到极致的“渣”。

可以肯定的是,Struts 2 的漏洞早已被京东修复,而京东也确实提醒用户修改密码,如果你在 2013 年 7 月之后修改过京东密码,那这次对你不会有什么影响。

但是,从一本财经记者的实验中可以看到,可能还是有很多用户没有修改密码,导致帐号依然处于“裸奔”的状态。

除了让我们更小心,互联网公司们在安全上要承担什么责任?

每一次出现用户数据大规模泄露事件,我们总会被严厉教育一次:要使用复杂密码,不同网站要使用不同密码,密码要勤于更换……

但其实稍微总结一下,就会发现,大规模泄露事件一般是因为网站漏洞,使用复杂密码、频繁更换密码只是增加了黑客破解密码的难度;不同网站使用不同密码,只是能防止黑客“撞库”。

除了让我们更小心,互联网公司要为安全承担怎样的责任呢?

2014 年 12 月,13 万条 12306 网站的用户数据在网上被疯狂贩售,据瑞星透露,在对 12306 网站安全监测时,发现 6 个子网站存在 Struts2 远程监控漏洞。

对于劣迹斑斑的 Struts2,在涉及到用户信息的部分,开发人员或许该下定决心换个框架。

另外,国内的大部分网站,包括京东,还没有推出或强制用户使用两步验证。对于已经出现问题的帐号,建议其修改密码,并不是一个一劳永逸的解决方案。

安全无小事,不应该只是对用户说。

  • 相关推荐
  • 大家在看
  • Facebook在德国败诉 滥用支配地位收集用户数据

    周二,德国最高法院裁定,Facebook滥用其在社交媒体上的主导地位,非法获取用户数据。这一裁决可能进一步鼓励欧洲各国政府向大型科技平台采取行动。

  • 研究:发生数据泄露后,仅三分之一用户会更改密码

    根据卡内基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究,只有大约三分之一的用户通常会在数据泄露后更改密码。

  • 探探6周年数据报告:全球用户数超3.6亿 90后用户占比近80%

    近日,探探发布 6 周年数据报告。报告显示,探探自 2014 年上线至今,探探全球用户数已超3. 6 亿,其中 90 后用户占比近80%,60%以上活跃用户完成真实头像认证。同时, 6 年间,探探平台累计完成匹配数超 151 亿次,平台聊天消息总行数超 1100 亿。进入 2020 年后,探探平台每日新增照片数超 100 万张,接近 6 年均值的 2 倍。

  • 海外多个约会APP高达845GB数据泄露 包含露骨照片、聊天记录等

    上个月,安全研究人员Noam Rotem和Ran Locar在扫描开放的互联网时,无意中发现了一组可公开访问的亚马逊网络服务(AWS)数据包。每个数据包包含了来自多个不同约会应用的数据,包括3somes、Cougary、Gay Daddy Bear等等。研究人员总共找到了845GB和近 250 万份记录,可能涉及了数十万用户的数据。

  • 中国联通拒绝公布5G用户数:依然是个蜜汁存在

    近日,三大运营商陆续公布了各自的2020年5月份运营数据,值得一提的是,联通5G的用户规模依然不肯公布。截止2020年5月底,中国移动的移动业务用户数达9.470亿,当月净增25.2万,今年累计净减3

  • 重视海外用户需求,ColorOS 印度月活跃用户数达 4500 万

    2020 年 6 月 19 日,印度主流媒体 Indianexpress 在对 ColorOS 产品本地化负责人 Manoj Kumar 的采访中,公开了 ColorOS 7.1 新功能开发过程以及 ColorOS 对产品本地化的思考。报道显示,目前 ColorOS 在全球拥有 3.5 亿月活跃用户,其中印度有 4500 万活跃用户,而高活跃用户的背后,是 ColorOS 对用户需求的精准把握和在本土化方面的不断追求。重视不同地区的用户需求Manoj Kumar 介绍,目前 OPPO 在印度的研发中心已经有 300 ?

  • 全球数十亿条用户记录被泄露,姓名住址全曝光,Oracle或已引发今年最大的数据安全事件

    Oracle 于 2014 年以超过 4 亿美元的价格收购了初创企业 BlueKai ,并将其产品添加到 Oracle 的数据云(ODC)和营销云(OMC)中。BlueKai 通过 cookie 和其他跟踪技术监视网络上的用户,并为第三方提供数据收集服务,同时维护着一个大型数据库。因为背后有 Oracle 的支撑,BlueKai 的发展相当迅速。据 Whotracks 网站估计,BlueKai 跟踪了所有 Web 流量的 1%以上。

  • 翼龙贷为农村金融在农户数据上填补了大量空白

    在中国,农业人口众多、地域分布广泛,农村开展普惠金融成为世界级难题。翼龙贷经过十余年的探索,特别是在互联网金融技术推动下,快速推进农村普惠金融的发展。具体来看,依靠互联网技术创新、大数据积累,以及在“三农”互联网金融市场占有优势,翼龙贷不断迭代优化“三农”融资渠道,提供快捷、及时的金融信息撮合服务,持续推动农村信用体系建设,帮助“三农”群体逐步建立信用记录,更好地获取金融服务,为农村金融在农户数据

  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 封堵邮件漏洞 苹果敦促iPhone用户尽快安装iOS 13.5更新

    苹果方面已经要求iPhone用户尽快更新iOS 13. 5 安全更新,因为在这个版本中,修复了不少安全上的漏洞。有同样需求的还有德国联邦安全局(BSI),其也敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。

  • 黑客泄露暗网托管服务商DH数据库 涉及七千多个帐户密码

    一名黑客日前在网上泄露了全球最大的免费暗网托管服务商Daniel's Hosting (DH)的数据库。当前泄露的数据是,今年 3 月 10 日黑客入侵DH获得的。当时,遭黑客攻击之后,近 7600 个暗网门户网站关闭,攻击者删除了托管门户网站的整个数据库。

  • 京东宣布上线版权素材中心 向商家及达人用户免费开放

    昨日,京东宣布,为了让平台商家在进行商品视觉创作时省钱又省心,打造健康的平台生态,京东近日上线了京东版权素材中心。这是全国电商行业中首个大型免费版权素材平台,面向全量商家和京东平台达人用户免费开放。

  • 京东美妆内测AI测肤功能 将逐渐面向更多用户

    据 36 氪报道,京东美妆于 5 月份开始内测AI测肤功能,这一功能开始逐渐面向更多用户。AI测肤会建立起一套化妆品数据库,基于用户皮肤数据,AI能给出相应产品推荐及问题解决方案。

  • 易观:淘宝5月度活跃用户为京东拼多多之和

    我们获悉,最新公布的易观应用Top榜单显示,淘宝5月MAU(月度活跃用户)为京东拼多多之和。根据易观的数据,淘宝5月MAU为7.57亿,拼多多为4.98亿,京东为2.95亿。淘宝的MAU几乎和拼多多和京东之

  • 魅族发布Flyme用户习惯大数据:24小时都在干啥?

    6月25日晚,魅族发布了Flyme用户习惯大数据,看看煤油24小时都在干嘛呢。该数据为近30天的每日平均值。数据显示,12%的Flyme用户会在1:00-6:00为自己的手机清理加速,15%的Flyme用户会在7:00-

  • 李开复:互巨头不用个人数据会使用户不便,谁做坏事惩罚谁

    6 月 20 日,创新工场董事长李开复谈互联网巨头拿走个人数据时表示,互联网巨头拿走个人数据赚钱,获得授权和分成给个人仍是理想主义,“现在把数据还给你,它没办法做好AI了,会使你更不便,应该是谁用数据做了坏事就去惩罚它,而不是把数据全部收回来还给个人。”

  • 抖音开放平台推出公开数据服务 为用户提供运营支持

    6月4日消息,近日,抖音开放平台宣布推出公开数据服务。接入服务的开发者可以为用户提供抖音热点数据、视频公开数据、星图榜单、生活服务数据等服务,为视频创作和账号运营提供更多支持。基于这些服务,用户和机构可以实时了解平台热点动态,在日常运营过程中做到有的放矢。据介绍,该服务已经上线,并对抖音用户、营销服务商、mcn机构、品牌商、各垂直领域服务商等外部开发者全面开放,登录抖音开放平台官方网站即可?

  • 东方红资管与京东数科合作的第二支大数据基金正式发行

    6月11日消息,“东方红智远三年持有期混合型证券投资基金(基金代码:009576)”正式发行,成为东方红资产管理与京东数科合作的第二支大数据基金。据悉,京东数科旗下资管科技平台JT2为这一支基金的投研工作持续提供智能数据挖掘等技术支持。目前,“东方红智远三年持有期混合型证券投资基金”已经在东方证券、招商银行、京东金融APP等渠道对外发售。在投资策略方面,东方红智远三年持有期混合型证券投资基金将动态跟?

  • 达达集团公布618数据:京东到家峰值日销售金额同比翻倍

    【TechWeb】6月20日消息,达达集团对外发布618大促战报,旗下本地即时零售平台京东到家618单日销售金额刷新历史峰值,同比去年翻倍增长。同时,618当日截至15:20,达达集团旗下本地即时配送平台达达快送配送单量超去年全天。数据显示,今年618,京东到家单日销售金额创下历史新高,同比去年实现翻倍增长。数据显示,6月6日-18日大促期间,平台销量最高的商品类型TOP5是日配冷藏、水果蔬菜、粮油副食、酒水饮料和休闲食品。手机类?

  • 在行业主场京东618创新高 vivo要给用户最潮的5G体验

    “给广大京东粉丝派送好礼啦,你想拍出不再抖动的视频吗?你想留住璀璨的星空吗?vivoX50 系列5G手机能满足你所有期待!在今天的京东直播间,要让粉丝们好礼拿不停。”今年 618 期间,vivoX系列男神产品经理赵典做客京东直播间幽默介绍vivoX50 系列5G手机,并为京东 618 强势站台摇旗助威!2020 年迎来了5G时代的大爆发,5G手机也迎来了井喷式的增长,vivo也顺应时代潮流布局5G手机领域。今年京东 618 期间,vivo5G手机战绩斐然不?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议