京东12G用户数据外泄

12月10日晚间， 有消息称京东超12G数据疑似外泄， 涉及数千万用户。 京东昨日凌晨紧急回应称， 该数据源于2013年Struts 2的安全漏洞问题， 京东当时就已完成系统修复并提示用户安全升级。 同时， 仍有极少部分用户并未及时根据系统提示升级账号安全， 依然存在一定风险。

　　上周六晚， 有自媒体发文称一个12G的数据包在黑市上流通， 其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度， 并指数据来自京东。 昨日凌晨， 京东回应称， 经京东信息安全部门依据报道内容初步判断， 该数据源于2013年Struts 2的安全漏洞问题， 京东在Struts 2安全问题发生后就迅速完成了系统修复， 同时针对可能存在信息安全风险的用户进行了安全升级提示， 当时受此影响的绝大部分用户都对自己的账号进行了安全升级。 但确实仍有极少部分用户未按提示升级账号安全， 存在一定风险。

　　对此， 京东强烈建议用户高度重视信息安全和隐私保护， 在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码， 开启手机验证和支付密码， 并将登录密码和支付密码设为高强度的复杂密码， 提高账户安全等级。

　　京东表示， 经其信息安全部门依据报道内容初步判断， 该数据源于2013年Struts 2的安全漏洞问题， 在Struts 2的安全问题发生后， 迅速完成了系统修复， 同时针对可能存在信息安全风险的用户进行了安全升级提示， 当时受此影响的绝大部分用户也对账号进行了安全升级。 “但确实仍有极少部分用户并未及时升级账号安全， 依然存在一定风险。 ”

　　经了解， Struts为Apache基金会赞助的一个开源项目， Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设， 作为网站开发的底层模板使用。 2013年7月17日， Apache Struts2发布漏洞公告， 称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。 据当时报道， 包括电商、银行、政府等诸多网站均受影响。

　　以下是京东关于数据泄密的声明：

　　关于有媒体报道京东数据安全问题的声明

　　2016-12-11 京东黑板报

　　昨日， 有媒体报道《京东数据疑似外泄》， 经京东信息安全部门依据报道内容初步判断， 该数据源于2013年Struts 2的安全漏洞问题， 当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响， 导致大量数据泄露。 京东在Struts 2的安全问题发生后， 就迅速完成了系统修复， 同时针对可能存在信息安全风险的用户进行了安全升级提示， 当时受此影响的绝大部分用户都对自己的账号进行了安全升级。 但确实仍有极少部分用户并未及时升级账号安全， 依然存在一定风险。

　　京东在此也强烈建议用户高度重视信息安全和隐私保护， 在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码， 开启手机验证和支付密码， 并将登录密码和支付密码设为高强度的复杂密码， 提高账户安全等级。

　　同时， 针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为， 京东已与警方建立了长效的合作机制， 并将联合警方进行坚决的打击。

　　Ps： Struts是Apache基金会的一个开源项目， 广泛应用于大型互联网企业、政府、金融机构等网站建设， 并作为网站开发的底层模板使用。 2013年， 据乌云平台漏洞报告， Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容， 国内几乎所有的互联网企业， 以及大量国内外银行和政府机构都出现了不同程度的信息泄露。

　泄露数据部分截图

　　这已经不是京东第一次数据外泄了。

　　2015年， 京东就被曝出大量用户隐私信息泄露。 京东在3.15前一日做出回应， 称“不会发生泄露用户信息的情况”， 并解释称可能是某些网站泄露了隐私信息， 不发分子利用“撞库”的手段获取了用户信息。

　　所谓撞库， 就是黑客会通过某些平台已经泄露的用户名和密码， 批量登录其他网站来获得数据。

　　撞库能够成功是因为， 大部分为了方便好记， 在不同的平台都会使用相同的用户名和密码， 这使“撞库”的成功率非常高。

　　但是京东的泄密最终被证实跟“撞库”没有关系， 一年以后， 京东才公布调查结果：京东内部出现了“家贼”。

　　“家贼”是京东物流的3名员工， 3人共泄露的数据包括用户姓名、电话、地址、何时下单、所购货物等信息。 据北京市大兴区人民法院的判决书上显示， 3人泄露的数据总数据达到9313条。 据交代， 数据最高价格仅为1.5元/条。

　　除了京东， 当当网和支付宝在2014年都曾被曝出用户信息泄露， 而携程曾曾被爆出系统有安全漏洞。