12月14日,京東方面就數據泄露事件接受《中國經營報》記者采訪時表示,目前已經和警方進行了溝通。
12月10日,網傳疑似京東用戶數據被明碼標價售賣。12月11日,京東官方確認了數據泄露的真實性并表示此次數據泄露源于2013年Struts2的安全漏洞問題,已經完成了系統修復。
據本報記者梳理了解,這并不是京東第一次出現數據泄露問題,而就整個信息數據黑色產業鏈來看,京東數據泄露也只是冰山一角。
12月13日,本報記者在微博上以“開房數據查詢”作為關鍵字進行查詢,不少用戶在微博上表示可以查詢出入境、銀行流水、手機定位等信息,并明確表明可查詢的內容、所需要的時間等。
據業內人士介紹,個人信息數據泄露渠道眾多,而在互聯網時代信息數據的價值越來越凸顯,目前雖然有相關法律法規保障信息,但由于信息流通次數過大、立案調查成本過高,導致很難尋根溯源找到售賣數據的組織。
京東數據泄露事件已與警方溝通
12月10日,網傳疑似京東12GB用戶數據被明碼標價售賣,被泄露的數據包括用戶名、密碼、郵箱、電話號碼、身份證等多個維度,數據多達數千萬條。
在大量網友的質疑聲中,12月11日,京東在其官方微信公眾號“ 京東黑板報”上發布了題為《關于有媒體報道京東數據安全問題的聲明》,確認了數據泄露的真實性。京東表示,經信息安全部門依據報道內容初步判斷,此次數據泄露源于2013年Struts2的安全漏洞問題,已經完成了系統修復。同時針對可能存在信息安全風險的用戶進行了安全升級提示。此外,京東還建議用戶高度重視信息安全和隱私保護,運用高強度密碼等提高賬戶安全等級。
12月14日,京東公關部門在接受本報記者采訪時表示,已經和警方溝通了這一事件,關于數據泄露事件以京東官方回復為準。
據了解,出現安全漏洞的Struts2是一個Web 框架,普遍應用于阿里巴巴、京東等互聯網、政府、企業門戶網站。12月13日,武漢大學計算機學院教授陳晶對本報記者解釋:“Struts來源于建筑和舊式飛機中使用的支持金屬架。這個框架叫‘Struts’,是為了提醒我們記住那些支撐房屋、橋梁的基礎支撐。這也是一個解釋Struts在開發Web應用程序中所扮演角色的精彩描述,當建立一個物理建筑時,建筑工程師使用支柱為建筑的每一層提供支持。同樣,軟件工程師使用Struts為業務應用的每一層提供支持。它的目的是為了幫助我們減少在運用MVC(Model-View -Controller) 設計模型來開發Web應用的時間。”
陳晶表示,Struts2是當前web開發廣泛采用的開源架構,雖然比Struts安全,但仍存在各種安全漏洞。隨著各種補丁的公布,當前安全性有所提高。但企業不能將所有的安全問題歸結為Web開發框架的安全性問題,而應該綜合采用如防火墻、入侵檢測系統、加密存儲等多種防護手段,保障用戶的數據安全。
值得注意的是,京東聲明中提及的“2013年Struts 2的安全漏洞問題”指的是在 2013年7月17日,Struts2曾出現的高危漏洞,攻擊者可以利用該漏洞執行惡意Java代碼,最終導致網站數據被竊取、網頁被篡改等嚴重后果。
互聯網觀察人士、河豚品牌創始人王鵬輝對本報記者表示,2013年的Struts2漏洞本身是一個很常規的安全漏洞,但由于當時Struts團隊處理不當,直接對外公布了此漏洞,導致黑客很容易對采用Struts2技術的平臺進行攻擊,京東是事件中的受害者。據悉,Struts2事件影響力巨大,國內很多知名網站都受到此漏洞不同程度的影響,甚至商業銀行和國家級的政府網站也未能幸免。
數據泄露已是普遍現象
本報記者梳理發現,這已不是京東第一次陷入數據泄露危機。2015年“3·15”前夕,京東被曝出大量用戶隱私信息遭到泄露。直至2016年4月,這場數據泄露事件被查明:京東商城3名員工越權登錄公司數據庫系統,非法獲取用戶姓名、電話、地址、所購貨物等信息,共達到9313條,而后3人將信息賣出,非法獲利近4萬元。
12月13日,京東集團高級副總裁王振輝接受《中國經營報》記者采訪時表示:“大家對信息安全重視的程度已經大大提升了,現在京東無論從組織上還是內部制度上都非常重視信息安全,因為平臺中有上億的消費者,信息安全保護是公司第一要務。”
值得關注的是,當前數據泄露問題并不是個案,而是一個較為普遍的現象。2016年,數據泄露的安全事件數不勝數,時代華納30萬客戶數據泄露、凱悅連鎖酒店318家酒店客戶信息被竊取、蘋果App Store逾千應用存漏洞、信誠人壽信息安全曝漏洞、Verizon 150萬客戶記錄遭泄露、學信網數據泄露……
陳晶指出:“由于大多數用戶都習慣于記住幾個常用密碼以登錄不同的應用,所以泄露出去的密碼所帶來的影響絕不僅在京東這個應用中。”他表示,漏洞修補只能保證數據不會再通過該漏洞泄露出去,而數據一旦流進黑市,就很難避免重復買賣。“問題的關鍵還是在于企業應該加大安全投入,防止數據流出。”
信息數據常被反復售賣
隨著互聯網的普及,數據泄露已成為互聯網安全的痛點。不可否認的是,個人信息的黑色產業鏈已經形成,其中存在數據提供方和數據中間商以及數據購買者三個環節,而且從木馬制作、攻擊滲透、個人信息的獲取、信息交易等各個環節都有專門的人負責。
12月13日,本報記者在微博上以“開房數據查詢”作為關鍵字進行查詢,結果不乏用戶在微博上表示可以查詢出入境、銀行流水、手機定位等信息,并明確表明可查詢的內容、所需要的時間等。據了解,個人信息主要有三個用途,第一個是用于推廣,包括短信、EDM(電子郵箱營銷)等推廣方式,可以獲得不菲的廣告費;第二個是用于銷售,數據買家掌握了精準的人群之后可以更好地進行推銷,如買房的就推銷裝修、建材、家電等產品,買車的就推銷維修保養、保險等服務;而最暴利的就是詐騙行為,由于數據買家清晰掌握個人信息,詐騙難度降到更低。
“這些數據通常會被多次倒手,價格不一。”獵豹移動安全專家李鐵軍在12月13日對本報記者表示,“單次數據售賣的價格看起來并不高,大量的數據只需要幾千元左右,但對于買家的潛在價值非常大。”
李鐵軍指出:“京東三年前的系統漏洞導致的數據泄露到現在才被發現,是因為黑市的交易非常封閉,外人幾乎無法知曉,通常是過了很長時間之后,數據才被流傳到正常的交際圈中。正常的‘圈子’和黑市交易的‘圈子’之間會有很長時間的延遲。”
多位業內人士對記者表示,由于個人信息常被反復售賣,并且買家之間的信息往往不共享,導致信息安全事件發生之后,立案調查成本高,也很難尋根溯源找到售賣數據的組織,由此導致通過法律手段進行制裁的難度加大。
京公網安備 11010502049343號