实际上,京东方面在今天凌晨(12月11日)已经紧急发布了声明,并对相关事宜进行了说明和澄清。
从声明中可以看出,京东并没有否认这些数据来自京东,但初步判断该数据源于2013年Struts 2的安全漏洞问题。霍!原来是三年前的数据,当时国内几乎所有的互联网公司及大量银行、政府机构都受到了该风波的影响,导致大量数据泄露,并不只是京东一家出了问题。搞事情的人在双十二这个节骨眼上突然旧事新提,这刀子捅得还真是有模有样的。
在此我觉得有必要给大家科普一下“Struts”到底是个神马东西,其实不难解释,Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,当时国内几乎所有的互联网企业出现了不同程度的信息泄露。
从声明中可以看出,京东并没有否认这些数据来自京东,但初步判断该数据源于2013年Struts 2的安全漏洞问题。霍!原来是三年前的数据,当时国内几乎所有的互联网公司及大量银行、政府机构都受到了该风波的影响,导致大量数据泄露,并不只是京东一家出了问题。搞事情的人在双十二这个节骨眼上突然旧事新提,这刀子捅得还真是有模有样的。
在此我觉得有必要给大家科普一下“Struts”到底是个神马东西,其实不难解释,Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,当时国内几乎所有的互联网企业出现了不同程度的信息泄露。
其实除了京东,当当网和支付宝在2014年都曾被曝出用户信息泄露,罪魁祸首也是Struts 2。
这就很明显了,导致用户数据泄露的根本原因不在京东,而在其使用的网站底层技术。但是在魔高一尺道高一丈的网络安全领域,安全专家分分钟就可以修复漏洞来保证用户安全,那为何这些2013年泄露的数据如今才浮出水面呢?
因为多事之秋必有多事之人,当然了,我相信大家更关心的一定是这件事对自己到底有什么危害,而不是纠结是谁在搞事,搞事的时间具体是哪一年。
首先,数据是2013年7月份的,现在才出现在黑客圈子里表示在此之前其一直没有被黑产所利用。因为信息越及时就越有价值,过了三年,这些信息的价值微乎其微,而且很多用户的信息已经变了,翻出以前的事儿来提纯属是噱头。
其次,京东已经声明“完成了系统修复”“对可能存在信息安全风险的用户进行了安全升级提示”等,安全机制已经在发挥作用了。而且一般来说“可能存在风险”的账户会加入网站的风险账户库,也就意味着这些账户的登录等行为都会受到严格监控和限制,让黑客无法为所欲为。
最后,现在的网站都支持手机验证功能,即通过手机验证码来登录账户,这可以大大降低信息泄露的风险。在涉及到交易、支付、转账等操作时,手机验证码还会设置60秒的有效时间,超时即作废。
所以这次京东12G用户数据泄露,虽然数字听起来很吓人,但即使是真的都是京东数据,对用户信息的危机其实是可以忽略,该吃瓜吃瓜,该看戏看戏。依我看,这更像是有心人在“双十二购物狂欢节”之前给京东泼的冷水,毕竟不搞点事情怎么像是过节呢?再或者也可能是黑客们为了抬高自己身价而做的炒作,毕竟只偷几个Q币成不了“大拿”,也得不到多少关注,但手里攥着上市公司的用户数据就完全不一样了。
当然,以上关于黑客攻击京东的原因属于无责任脑洞环节。但现在看来,与其抓着京东的问题不放,不如踏实下来想想如何提高国内互联网企业对于黑客风险的防范制度,以及如何打击黑客的恶意攻击行为。黑客的犯罪成本之低,获利之高远超过我们的想象,想想数月前的“徐玉玉”案,以及更多因为信息泄露而引发的恶性案件。如何杜绝和防止更多的信息、资料、账号泄露才是各路英雄豪杰该想的事儿。
同时对于普通消费者来说,加强一点对信息安全和隐私保护的认知总是没错的,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的密码,提高账户安全等级,就这么简单就能防止绝大多数的数据剽窃,与其看着不明所以的新闻患得患失,还真不如懂点实际可操作的安全常识对自己的账户保护更加有利,你说不是吗?