京东的回应用户似乎并不买账,事实上,这并不是京东第一次遭遇用户数据外泄风波。而它的背后,反映的是越来越完整、分工精细复杂的数据贩卖黑色产业链。
近日,据媒体报道,黑市上出现一份12G的数据包,包括用户名、密码、邮箱QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,“这些数据来自京东。” 据报道,当时京东方对此表示,正在紧急核实数据真伪。
今日早间,京东黑板报发表回应声明称,经初步判断,该数据源于2013年Struts 2的安全漏洞问题。在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
京东还表示,强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
不过,京东的回应用户似乎并不买账。在微博上,“京东用户数据遭外泄”迅速上了微博热搜榜,京东官方微博下面,用户声讨声音不少。有网友称,京东的回应并没有解决问题,只是推卸责任。“我给翻译一下,第一段,这不是我的事。第二段,安全是用户的事儿。不只是我家出了事,哪家都出了事,不只是我家的问题。”
网友“校园渠道运营”表示,“之前发现京东的账号被泄露,与京东投诉过,京东回复说自己的系统很安全。这回真是京东狠狠地打了自己一个巴掌。”
京东曾多次泄露用户数据
据一本财经报道,相关人士表示,数据外泄的时间已比较长了,至于为何现在又流通,原因未明,很难确认是“内鬼”还是“黑客盗取”。事实上,这并不是京东第一次遭遇数据外泄风波。
2015年315前夕,京东被曝出大量用户隐私信息遭到泄露。当时京东方面给予的回应是:该部分用户使用相同注册信息(用户名和密码),在其他网站泄漏后被不法分子使用“撞库”的方法进行诈骗。
舆论当时对京东的解释也不买账,有媒体质疑认为,如果真是撞库,同一时间为何其他电商网站没有曝出用户信息被窃,本质上是因为京东不愿意承认存在“安全漏洞”问题。
这次风波的后续在今年4月以一条社会新闻收场。法制晚报报道称,京东商城3名员工越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子,据报道3人总共非法获利近4万元。
这起案件公开后还曝光了一个惊人的细节:京东商城的客户信息系统,涉案3人是没有登录权限的。但根据报道,京东商城存在有系统登录权限的员工的登录ID、密码被无系统登录权限的其他员工“共享使用”的情况。
而在此前,京东的用户信息泄露的传闻也不断。2014年2月,有网友在新浪微博爆料称,京东用户数据库资料遭泄露,建议账户有资金的人尽快处理。
2011年12月27日,WooYun.org爆出了京东商城用户数据泄露的漏洞,大量的用户账号和密码被公开。
数据贩卖的黑色产业链
随着互联网越来越普及,数据泄露已成为了互联网安全问题发生的常态。电商在线记者从一位不愿具名的业内知情人士处了解到,网络黑产的链条已很完整,分工精细复杂,公开售卖账户信息正变得越来越普遍。
在这个灰色链条中,存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种,一方面是黑客利用系统漏洞获取,另一方面是内鬼倒卖数据,2015年315前夕京东曝出来的泄露就是因为内部人员违规违法操作导致。
而数据的买方也目的不一。有一些同类业务平台,为了edm推广更精准会购买这些泄露出来的用户数据;也有一些电信诈骗方会看中这些数据,从而冒充平台去欺骗消费者,因为能准确报出相关信息,消费者通常会降低警惕。
这些数据通常会被多次倒手,价格不一,此前卖掉9313条京东用户信息的3位前京东员工共非法获利近4万元。
安全牛主编李少鹏表示,数据可以按照其价值进行分类,需要经过层层过滤价值才有可能更大。包含了用户的支付信息、信用卡和银行账号信息的数据会更值钱。
不论是互联网公司遭遇拖库还是撞库,个人隐私数据正面临越来越大的泄露风险。 业内人士建议,个人在注册互联网服务时,不要填入过多的个人信息,也尽量不要把其他互联网服务账号设置为相同密码。