京东调查用户数据大规模泄漏
京东表示正在调查超过12GB数据外泄一事,这些泄漏的数据包括了用户名、密码、邮箱、QQ号、电话号码、身份证等。京东表示这些数据来源于2013年Struts 2的安全漏洞问题。Struts是开发Web应用的Java开发框架,2013年7月曝出了一个远程执行命令的高危漏洞。Struts 2在国内被大量使用,其中包括了淘宝网站。京东表示,从泄漏数据的截图只能判断出是2013年之前注册的用户。至于流传的12GB数据包是否全部是京东的数据,以及是否只是黑色产业链打着京东旗号做交易的噱头,京东还在调查,需要取得完整的数据包之后才能做结论。
互联网越来越多地影响人们生活的同时,海量的用户信息被不法分子觊觎。针对市场传出京东用户数据泄露并在黑市流通、交易一事,京东方面对财新记者表示,数据泄露可能受2013年安全漏洞影响。尽管京东已经修复、升级了当时的系统,极少数用户可能还有一定的风险。京东目前未公布此事的影响范围。
12月10日晚间,一篇称“京东超过12G的数据疑似外泄”的文章广泛传播。文中提到,这个12G的数据包已经在黑市开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,黑市买卖双方称“这些数据来自京东”。
12月11日凌晨2点,京东发布官方声明,称经信息安全部门依据报道内容初步判断,这些数据来源于2013年Struts 2的安全漏洞问题。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示。当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
至于数据泄露影响范围有多大?12月11日,京东方面对财新记者回应称,据之前报道截图只能判断出是2013年之前注册的用户。至于这个流传的数据包是否全部是京东的数据,以及是否只是黑色产业链打着京东旗号做交易的噱头,京东还在调查,需要取得完整的数据包之后才能做结论。
京东方面对财新记者表示,确有极少数用户还有一定的风险,建议用户尽快提升密码安全等级。同时京东会加强与警方合作,打击不法行为。如有后续进展,将进一步公示。
OWASP(开放式Web应用程序安全项目)中国北京负责人陈亮告诉财新记者,目前各大互联网网站的监管力度已经比较强了,新的数据很难再被泄露。“按照目前京东的防护措施,黑客很难拿到这么大规模的数据。即使获得了第三方网站的数据进行’撞库’,也很难获得这么大规模的数据。”
针对目前的情况,陈亮表示,已经泄漏的数据只能通过用户自己修改密码来补救。用户应该加强自己的防范意识,比如三个月更换一次密码,不要多个账户使用同一密码等。同时,用户最好将账户与手机绑定,多一些联动监测帐号变换,尤其是异常登录提醒。
实际上,2013年受Struts安全漏洞影响的不止京东。2013年7月17日,Web应用开发框架Struts 2被曝存在一个可以远程执行任意命令的高危漏洞,攻击者可以利用该漏洞,窃取网站数据,篡改网页,造成大规模的信息泄露。由于使用Struts 2开发的网站非常多,包括很多大网站,所以这个漏洞影响面非常广。乌云漏洞报告平台上确认的数据显示,淘宝、国家电网、浦发银行信用卡服务中心、中国银行某分行网站等百余个漏洞信息得到确认,证明其网站受到影响。乌云还确认,苹果开发者网站宕机也与Struts 2漏洞相关。(详见财新网报道《大量网站存高危漏洞再鸣安全警报》)
一直以来,尽管大小网站都在开展互联网安全攻防战,用户信息泄露仍时有发生。中国互联网协会发布的的《中国网民权益保护调查报告2016》显示,72%的受访网民表示身份信息(包括姓名、手机号、电子邮件、学历、住址和身份证号码等)遭到泄露。
巨大利益驱使之下,涉及用户数据盗取、清洗、买卖等各个环节的完整产业链屡禁不止。阿里巴巴此前在其安全峰会上发布的数据显示,中国网络黑灰产业链的从业者已经超过了40万人,依托其进行网络诈骗的人数至少有160万,年产值超过1100亿元。
政府相关部门重视网络安全,多次出台相关政策保护用户个人信息安全。自2013年开始实施的《电信和互联网用户个人信息保护规定》第十四条规定,电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。即将于2017年6月1日施行的《中华人民共和国网络安全法》规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。