昨天我们发了关于京东用户数据泄密的微信,今天我们展开来看整起事情到底是怎么回事。
事件之因
2016年12月11日晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身份证等消息。不过密码经过了MD5加密。一本财经在报道中提到:
“一些地下渠道,开始对数据进行明码标价,价格从‘10万到70万’不等。”
这真可谓重磅炸弹了。不过京东今天已经正式给出回应,确认这部分数据泄露是缘于2013年的Struts 2安全漏洞,并表示京东很早就已经修复了此漏洞,而且当时已经提示存在风险的账户进行安全升级。
三年前的数据?是否还能造成危害?
我们可以从上面的数据看到,这份数据包含了用户名 邮箱地址 密码(简单加密非常容易破解) 收货地址 以及 身份证号码 和 姓名。
据称,这份数据已经被销售多次,“至少有上百个黑产者手中掌握了数据”。而且“数据外泄的时间已经比较长了,至于为何现在又流通,原因未明”。
京东在双12的声明中提到:
“经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
这表明数据泄露的情况的确存在,只不过数据是前几年的了。无论如何,京东用户还是需要提高警惕的。所以我们可以修改密码,改改邮箱什么的,防止自己的财产被盗用。
但是,姓名和身份证能改吗?收货地址?
仅仅要求用户单方面修改自己信息提高信息安全程度是指标不治本的,由用户姓名和身份证引起信息安全事件数不胜数,承载用户数据的公司和组织应该更注意对于数据的保护。应该做到:
①强化公司信息安全管理,建立信息安全体系。使用户数据有保障。
②关注漏洞信息,对于可能潜藏风险的漏洞,要及时应对。
③了解相关市场信息,使可能泄露的数据有迹可寻。
【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】