信广立诚贷——客服热线:400-151-3456(9:00~18:00)

用户中心 | 免费注册

当前位置:信广立诚贷 > 财经资讯 > 曝光爆料 >

京东12G用户信息包泄露 糟疯狂转卖下载

阅读量:  时间:2016-12-13 17:55

  【京东12G用户信息包泄露 糟疯狂转卖下载

  10日晚,网络曝出黑市重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条,黑市买卖双方皆称,这些数据来自京东。信息在一番流传之后,数据包也身价倍增,价格被定为10万-70万之间不等。

  京东集团11日回应表示,初步判断该数据源于2013年Struts2的安全漏洞问题,当时已迅速完成修复。

  【爆料】

  数据已被多次倒手下载

  据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了下载数据”。

  “数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。

  业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。

  第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。

  值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。

  业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。

  可瞬间破解的账号,一般只占3%-5%。

  【隐患】

  “撞库”或破解更多信息

  记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。

  登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。

  甚至记者从数据库中搜索自己名字,发现信息也早已外泄。

  “黑客拿到这些数据,还可进行撞库操作”,业内人士称。

  所谓“撞库”,是一个黑产的专业术语。

  就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。

  这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。

  伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。

  【回应】

  京东发声明:

  极少用户存在风险

  建议升级账号安全

  京东集团在11日凌晨发表声明,称该数据源于2013年Struts2的安全漏洞,已经完成修复。京东在声明中表示,在Struts2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

  此外,京东还建议用户高度重视信息安全和隐私保护,在涉及财产的电商、支付系统中开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

  同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。

  据了解,Struts为广泛应用于互联网企业、金融机构等网站建设的开源项目,2013年漏洞被爆出后,该项目团队发布了更新版本解决上述问题。

  【绝非孤案】

  数据外泄总有“内鬼”

  实际上,京东已不是第一次被曝数据外泄。

  2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。

  直到一年后,京东才公布调查结果,称是因为出现“内鬼”。

  所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。

  而电商平台,一直是数据泄漏的重灾区之一。

  2014年年初,支付宝被爆20G用户资料泄漏。

  后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。

  这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。李明和两个同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。

  这个故事中更有意思的部分是,购买这些数据的买家,都是“友商”,比如其他电商平台。

  除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。可见“内鬼”是电商信息泄漏的重要原因,除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。

  电商平台安全风险集中爆发

  2014年,是电商平台安全风险集中爆发的一年。

  3月,当当网113位用户账户余额被盗用。黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。

  当当网在舆论重压下,宣布给予用户补偿。

  同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。

  而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。

  年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。

  不论是内鬼作祟还是黑客攻击,无非都是利益驱动。

  【贴士】

  多个网络账户别用同样的用户名和密码

  尽管此次的所谓数据外泄事件带来的危险可能并不大,不过出于安全考虑,不能做吃瓜群众,要正视下面几个小贴士:

  强烈建议在涉及到财产的电商、支付类系统中使用独特的用户名和密码,避免被“撞库”攻击的风险;

  不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全;

  注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵、植入木马等;

  注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站;

  对于打着电商客户名义而来的电话、QQ应该格外小心,避免点击通过即时通讯软件发过来的所谓退货、用户中心网址。来源:新华社、一本财经

 【12G京东用户数据包遭bt下载(全)

  京东12G用户信息包泄露,京东12G用户信息下载相关推荐阅读:

  原文标题:京东12G用户信息包泄露 糟疯狂转卖下载



声明:本栏目内容,部份搜集自互联网,如有文章涉及侵权,请及时联系我们,邮箱:linchengcheng@lichengdai.cn。转载文章仅以信息传播为目的,不代表信广立诚贷认同其观点和立场,不对您构成任何投资理财建议,据此操作,风险自担。

推荐阅读
随便看看
TAGS
京东12G用户信息包泄露  京东12G用户信息下载