京东数据泄露背后：信息黑色产业链环环相扣.pdfVIP

京东数据泄露背后：信息黑色产业链环环相扣 作者: 陈冰洁 来源: 中国经营报 12 月14 日，京东方面就数据泄露事件接受《中国经营报》记者采访时表示， 目前已经和警方进行了沟通。 12 月10 日，网传疑似京东用户数据被明码标价售卖。12 月11 日，京东官 方确认了数据泄露的真实性并表示此次数据泄露源于2013 年Struts2 的安全漏 洞问题，已经完成了系统修复。 据本报记者梳理了解，这并不是京东第一次出现数据泄露问题，而就整个信 息数据黑色产业链来看，京东数据泄露也只是冰山一角。 12 月13 日，本报记者在微博上以“开房数据查询”作为关键字进行查询，不 少用户在微博上表示可以查询出入境、银行流水、手机定位等信息，并明确表明 可查询的内容、所需要的时间等。 据业内人士介绍，个人信息数据泄露渠道众多，而在互联网时代信息数据的 价值越来越凸显，目前虽然有相关法律法规保障信息，但由于信息流通次数过大、 立案调查成本过高，导致很难寻根溯源找到售卖数据的组织。 京东数据泄露事件已与警方沟通 12 月10 日，网传疑似京东12GB 用户数据被明码标价售卖，被泄露的数据 包括用户名、密码、邮箱、电话号码、身份证等多个维度，数据多达数千万条。 在大量网友的质疑声中，12 月11 日，京东在其官方微信公众号“ 京东黑板 报”上发布了题为《关于有媒体报道京东数据安全问题的声明》，确认了数据泄 露的真实性。京东表示，经信息安全部门依据报道内容初步判断，此次数据泄露 源于2013 年Struts2 的安全漏洞问题，已经完成了系统修复。同时针对可能存 在信息安全风险的用户进行了安全升级提示。此外，京东还建议用户高度重视信 息安全和隐私保护，运用高强度密码等提高账户安全等级。 12 月14 日，京东公关部门在接受本报记者采访时表示，已经和警方沟通了 这一事件，关于数据泄露事件以京东官方回复为准。 据了解，出现安全漏洞的Struts2 是一个Web 框架，普遍应用于阿里巴巴、 京东等互联网、政府、企业门户网站。12 月13 日，武汉大学计算机学院教授陈 晶对本报记者解释：“Struts 来源于建筑和旧式飞机中使用的支持金属架。这个 框架叫‘Struts’，是为了提醒我们记住那些支撑房屋、桥梁的基础支撑。这也是一 个解释Struts 在开发Web 应用程序中所扮演角色的精彩描述，当建立一个物理 建筑时，建筑工程师使用支柱为建筑的每一层提供支持。同样，软件工程师使用 Struts 为业务应用的每一层提供支持。它的目的是为了帮助我们减少在运用 MVC(Model-View-Controller) 设计模型来开发Web 应用的时间。” 陈晶表示，Struts2 是当前web 开发广泛采用的开源架构，虽然比Struts 安 全，但仍存在各种安全漏洞。随着各种补丁的公布，当前安全性有所提高。但企 业不能将所有的安全问题归结为Web 开发框架的安全性问题，而应该综合采用 如防火墙、入侵检测系统、加密存储等多种防护手段，保障用户的数据安全。 值得注意的是，京东声明中提及的“2013 年Struts 2 的安全漏洞问题”指的是 在2013 年7 月17 日，Struts2 曾出现的高危漏洞，攻击者可以利用该漏洞执行 恶意Java 代码，最终导致网站数据被窃取、网页被篡改等严重后果。 互联网观察人士、河豚品牌创始人王鹏辉对本报记者表示，2013 年的 Struts2 漏洞本身是一个很常规的安全漏洞，但由于当时Struts 团队处理不当， 直接对外公布了此漏洞，导致黑客很容易对采用Struts2 技术的平台进行攻击， 京东是事件中的受害者。据悉，Struts2 事件影响力巨大，国内很多知名网站都 受到此漏洞不同程度的影响，甚至商业银行和国家级的政府网站也未能幸免。 数据泄露已是普遍现象 本报记者梳理发现，这已不是京东第一次陷入数据泄露危机。2015 年“3·15” 前夕，京东被曝出大量用户隐私信息遭到泄露。直至2016 年4 月，这场数据泄 露事件被查明：京东商城3 名员工越权登录公司数据库系统，非法获取用户姓名、 电话、地址、所购货物等信息，共达到9313 条，而后3 人将信息卖出，非法获 利近4 万元。 12 月13 日，京东集团高级副总裁王振辉接受《中国经营报》记者采访时表 示：“大家对信息安全重视的程度已经大大提升了，现在京东无论从