京东的回应用户似乎并不买账，事实上，这并不是京东第一次遭遇用户数据外泄风波。而它的背后，反映的是越来越完整、分工精细复杂的数据贩卖黑色产业链。

近日，据媒体报道，黑市上出现一份12G的数据包，包括用户名、密码、邮箱QQ号、电话号码、身份证等多个维度，数据多达数千万条。而黑市买卖双方皆称，“这些数据来自京东。” 据报道，当时京东方对此表示，正在紧急核实数据真伪。

今日早间，京东黑板报发表回应声明称，经初步判断，该数据源于2013年Struts 2的安全漏洞问题。在Struts 2的安全问题发生后，迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。”

京东还表示，强烈建议用户高度重视信息安全和隐私保护，在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码，开启手机验证和支付密码，并将登录密码和支付密码设为高强度的复杂密码，提高账户安全等级。

不过，京东的回应用户似乎并不买账。在微博上，“京东用户数据遭外泄”迅速上了微博热搜榜，京东官方微博下面，用户声讨声音不少。有网友称，京东的回应并没有解决问题，只是推卸责任。“我给翻译一下，第一段，这不是我的事。第二段，安全是用户的事儿。不只是我家出了事，哪家都出了事，不只是我家的问题。”

网友“校园渠道运营”表示，“之前发现京东的账号被泄露，与京东投诉过，京东回复说自己的系统很安全。这回真是京东狠狠地打了自己一个巴掌。”

京东曾多次泄露用户数据

据一本财经报道，相关人士表示，数据外泄的时间已比较长了，至于为何现在又流通，原因未明，很难确认是“内鬼”还是“黑客盗取”。事实上，这并不是京东第一次遭遇数据外泄风波。

2015年315前夕，京东被曝出大量用户隐私信息遭到泄露。当时京东方面给予的回应是：该部分用户使用相同注册信息（用户名和密码），在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。

舆论当时对京东的解释也不买账，有媒体质疑认为，如果真是撞库，同一时间为何其他电商网站没有曝出用户信息被窃，本质上是因为京东不愿意承认存在“安全漏洞”问题。

这次风波的后续在今年4月以一条社会新闻收场。法制晚报报道称，京东商城3名员工越权登录公司数据库系统，非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子，据报道3人总共非法获利近4万元。

这起案件公开后还曝光了一个惊人的细节：京东商城的客户信息系统，涉案3人是没有登录权限的。但根据报道，京东商城存在有系统登录权限的员工的登录ID、密码被无系统登录权限的其他员工“共享使用”的情况。

而在此前，京东的用户信息泄露的传闻也不断。2014年2月，有网友在新浪微博爆料称，京东用户数据库资料遭泄露，建议账户有资金的人尽快处理。

2011年12月27日，WooYun.org爆出了京东商城用户数据泄露的漏洞，大量的用户账号和密码被公开。

数据贩卖的黑色产业链

随着互联网越来越普及，数据泄露已成为了互联网安全问题发生的常态。电商在线记者从一位不愿具名的业内知情人士处了解到，网络黑产的链条已很完整，分工精细复杂，公开售卖账户信息正变得越来越普遍。

在这个灰色链条中，存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种，一方面是黑客利用系统漏洞获取，另一方面是内鬼倒卖数据，2015年315前夕京东曝出来的泄露就是因为内部人员违规违法操作导致。

而数据的买方也目的不一。有一些同类业务平台，为了edm推广更精准会购买这些泄露出来的用户数据；也有一些电信诈骗方会看中这些数据，从而冒充平台去欺骗消费者，因为能准确报出相关信息，消费者通常会降低警惕。

这些数据通常会被多次倒手，价格不一，此前卖掉9313条京东用户信息的3位前京东员工共非法获利近4万元。

安全牛主编李少鹏表示，数据可以按照其价值进行分类，需要经过层层过滤价值才有可能更大。包含了用户的支付信息、信用卡和银行账号信息的数据会更值钱。

不论是互联网公司遭遇拖库还是撞库，个人隐私数据正面临越来越大的泄露风险。 业内人士建议，个人在注册互联网服务时，不要填入过多的个人信息，也尽量不要把其他互联网服务账号设置为相同密码。