近日,有媒体报道“京东数据疑似外泄,数据量达12G”。其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东方面。
对此,京东方面昨日凌晨紧急发布声明,但并未否认这些数据来自京东,同时京东在声明中强调,这些数据初步判断源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
据了解,Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。
京东表示,在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
京东建议,用户要高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
京东还称,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
“撞库”破解
因这12G的数据包,黑产(黑色产业,简称黑产,就是利用病毒木马来获得利益的一个行业)再次被搅动。一些地下渠道,开始对数据进行明码标价交易,价格从“10万元到70万元”不等。
据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。
业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程需要几个月甚至更长时间。第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。
值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就长。可瞬间破解的账号,一般只占3%~5%。一些用户3年多时间都未改密码。
有媒体记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。登陆之后,用户在京东上的订单、地址、交易等信息都一览无余。甚至从数据库中搜索自己名字,发现信息也早已外泄。“黑客拿到这些数据,还可进行撞库操作”,业内人士称。
所谓“撞库”,是一个黑产的专业术语。就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。
绝非孤案
实际上,京东已不是第一次被曝数据外泄。2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。直到一年后,京东才公布调查结果,称是因为出现“内鬼”。所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。
而电商平台,一直是数据泄漏的重灾区之一。2014年年初,支付宝被爆20G用户资料泄漏。后查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。李明和两位同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。
2014年,是电商平台安全风险集中爆发的一年。
3月,当当网113位用户账户余额被盗用。黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。当当网在舆论重压下,宣布给予用户补偿。
同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。
数据之痛
地下庞大数据产业链,已然形成。
网民被泄露的信息主要分为两类:个人信息包括姓名、身份证号、手机号码、家庭住址、工作单位、邮箱账号和密码、网购信息、购车、购房情况、医疗信息等各类信息;网上活动信息包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等,涵盖范围非常广泛。
而地下的数据库,已可以从200多个维度了解一个人——甚至能比你自己更了解你自己。这些泄露的数据,最终以各种方式,成为不法分子获利的工具。
今年,人民日报发文称,有78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过;而有82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。
仅在2015年一年,中国网民因信息泄露问题,导致的损失是805亿人民币——这只是对外公开的可查数据。
实际上,因为大数据的崛起,各家对数据的渴求度极高,加速了黑产数据的流通。数据之痛,已让所有人感同身受。用户的隐私和信息,绝不应公然成为贩卖品。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。