疑似京东12个G数据遭泄露,身份证、密码、电话等敏感信息无一逃脱

疑似京东12个G数据遭泄露,身份证、密码、电话等敏感信息无一逃脱

虎嗅注:近日,京东疑似有12GB的数据外泄引起轩然大波,本文昨晚(12月10日)发布后,京东方面迅速做出反应,于12月11日凌晨2点,京东旗下公众号“京东黑板报”发表声明


经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。


京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。


同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。


以上是京东的回应,以下是虎嗅的头条正文。


作者:一本财经(ID:yibencaijing)


最近,黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。


而黑市买卖双方皆称,这些数据来自京东。


京东方对此表示,正在紧急核实数据真伪。


01、数据之迷


最近,因为这12G的数据包,黑产再次被搅动。


一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。


▲ 外泄数据部分截图


▲ 数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等


据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。


“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。


业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。


第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。


值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。

业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。


可瞬间破解的账号,一般只占3-5%。


记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。


▲ 姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)


登陆之后,用户在京东上的订单、地址、交易等信息都一览无遗。


甚至一本财经记者从数据库中搜索自己名字,发现信息也早已外泄。


“黑客拿到这些数据,还可进行撞库操作”,业内人士称。


所谓“撞库”,是一个黑产的专业术语。


就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。


这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。


伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。


12月9日,一本财经向京东核实相关情况。截止发稿前,京东给出的最新回应称,目前正在找技术部门紧急核实,暂时还无法确认数据真伪。


02、绝非孤案


实际上,京东已不是第一次被曝数据外泄。


2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。


直到一年后,京东才公布调查结果,称是因为出现“内鬼”。


所谓的“内鬼”,是3位物流人员,通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息,总数据达到9313条。


而电商平台,一直是数据泄漏的重灾区之一。


2014年年初,支付宝被爆20G用户资料泄漏。


后经调查,此次泄漏是“内部作案”:支付宝前技术员工李明,利用职务之便,多次在公司后台下载用户资料。


这20G资料,包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等,相当精准。


李明和两位同伙,将用户资料按条数出售,价格不等,价值较高的,一条可卖数十元;也有人以500元的代价,购买了3万条用户信息。


这个故事中更有意思的部分是,购买这些数据的买家,都是“友商”,比如其他电商平台。


除了支付宝,早在2012年,1号店被曝网上商城员工与离职、外部人员内外勾结,90万用户资料泄露,价格只需500元。


可见“内鬼”是电商信息泄漏的重要原因,除此之外,电商平台由于自身技术漏洞,被黑客戳中软肋,盗走数据,也是常见现象。


2014年,是电商平台安全风险集中爆发的一年。


3月,当当网113位用户账户余额被盗用。


黑客先是盗取用户登录信息,然后修改用户绑定手机、邮箱地址等信息,最后购买电子产品等贵重商品。


当当网在舆论重压下,宣布给予用户补偿。


同月,乌云漏洞平台曝光携程系统存技术漏洞,可导致用户个人姓名、身份证号码、银行卡类别、银行卡卡号和银行卡用于支付的6位Bin码等重要信息泄露。


而携程随后发布声明表示,确认共93人账户存安全风险,已通知相关用户更换信用卡。


年底,中国铁路购票网站12306的6个子网站存在高危漏洞,致数十万条用户数据外泄,包括用户账号、明文密码、身份证、邮箱等敏感信息在内的数据被贩售。12306宣布悬赏、号召网友查找漏洞。

不论是内鬼作祟还是黑客攻击,无非都是利益驱动。


03、数据之痛


地下的庞大数据产业链,已然形成。


网民被泄露的信息主要分为两类:个人信息包括姓名、身份证号、手机号码、家庭住址、工作单位、邮箱账号和密码、网购信息、购车、购房情况、医疗信息等各类信息;


网上活动信息包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等,涵盖范围非常广泛。


而地下的数据库,已可以从200多个维度了解一个人——甚至能比你自己更了解你自己。


这些泄露的数据,最终以各种方式,成为不法分子获利的工具。


今年,人民日报发文称,有78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过;而有82.3%的网民亲身感受到了个人信息泄露给日常生活造成的影响。


黑产之手,已延伸到普通百姓生活,到了触手可及的地步。


仅在2015年一年,中国网民因信息泄露问题,导致的损失是805亿人民币——这只是对外公开的可查数据。


实际上,因为大数据的崛起,各家对数据的渴求度极高,加速了黑产数据的流通。


一本财经在《征信之乱》中曾经调查黑产链条,从事数据买卖中间商,多达几万人,数据的每一次流转,价值上万到百万不等——地下黑市,恐怕早已形成万亿级别市场。


用户的隐私和信息,就如此公然成为贩卖品,在黑市上肆无忌惮地流动。


数据之痛,已让所有人感同身受。


然而,这个问题,却不是做好安全工作就能解决的。


除了技术,还得防住人性的贪婪。


更多深度内容,欢迎关注微信公众号:一本财经(ID:yibencaijing)。一本财经,专注金融科技领域。我们不生产碎片化新闻,只出品深度而专业的报道。

*文章为作者独立观点,不代表虎嗅网立场
本文由 一本财经 授权 虎嗅网 发表,并经虎嗅网编辑。转载此文请于文首标明作者姓名,保持文章完整性(包括虎嗅注及其余作者身份信息),并请附上出处(虎嗅网)及本页链接。原文链接:http://www.huxiu.com/article/174140.html
未按照规范转载者,虎嗅保留追究相应责任的权利
未来面前,你我还都是孩子,还不去下载 虎嗅App 猛嗅创新!
+1
21
发表评论
默认评论 最新评论
nealee 2016-12-11
md5还能破解?别搞笑了好吗!除了常见的密码,稍微复杂点的你给我试试!
点评 展开
+1
+1
我要点评
嘉博学长 2016-12-11
中国人实在是个没有创意的民族,集中体现在密码设计上,大部分人洋洋得意的密码规则,分析下来都弱爆了。总结了5大最没创意的密码设置规则。按照这些规则设置的密码,基本都是弱密码,太好破,太好猜了。密码设置还是要讲究与众不同的!你与别人规则一样,在犯罪分子眼里,破你就是跑个批的事了。 第一名:有近4.18%的用户采用了“姓氏拼音+123”的规则,极没创意,中国姓氏只有百来个,黑客要破你不是分分钟的事么? 第二名:有近3.42%的用户采用“qq+qq号码”的密码规则,殊不知,这些用户中有很多就是用他的qq邮箱作为注册邮箱的,这样不就是很好猜、很好破么? 第三名:近3.04%的用户还在采用生日做密码,对这个,我也是醉了。 第四名:近2.66%的用户采用键盘按键规则做密码,如1qaz2wsx、1z2x3c4v5b等,看上去很复杂,密码位数也够长,但是还是弱爆了。这种规则,在win98的时代,就基本已经被国际黑社会定义为弱密码了。 第五名:还有近1.52%的用户使用“abc+6位生日”做密码。
点评 展开
+1
+1
我要点评
Alicelin 2016-12-12
2015年8月在京东取消一笔公司采购订单三百多办公室零食,当时不小心点了白条,厄运随之而来京东一年以来骚扰不断, 还给我的妈妈打电话。后经过朋友帮忙找人与京东联系交涉,京东金融和京东商城之间的沟通管理有严重问题,橡皮球一样踢来踢去。1、取消的订单2、没有支付3、未收到货。京东白条却显示有三百多块的欠款,一直利滚利在滚动,搞不懂他们是怎么管理后台数据的?
点评
2016-12-12

Alicelin    :一直有显示江苏省宿迁市的陌生号码打过来一直连续打了一年,给我的妈妈打给我的姐姐打, 后来我就急了,找朋友联系京东的员工,当时对方给我回个电话,全程录音下来。我说第一个我取消的订单,第二个没有支付,第三个我没有收到货物,当然你们也没有发货记录。为什么显示欠款呢?对方的答复是让我还钱,还钱之后处理。被我拒绝了。如果我还了钱就默认是我欠了钱对吧,没有欠钱为什么要还钱呢?对方说几十个小时以后给我答复这也没音了。又过了一段时间重庆的一个电话打过来说是京东法务,我对他讲你也是懂法律的如果你们再给我打一个电话我就拿着证据去告京东。从此以后再也没有电话了。

回复
+1
+1
我要点评
独行千山 2016-12-11
京东太不让人放心了
+1
+1
我要点评
XXX 2016-12-11
讲个笑话,网络实名制
+1
+1
我要点评
海边铁匠 2016-12-11
严刑峻法,让盗窃贩卖数据的人坐牢和巨额罚款
点评
2016-12-12

Knight Cavalier    :云盈伤把你底裤下的秘密都卖了,还谈什么数据隐私,网络实名制就是让数据能卖上个好价钱!

回复
+1
+1
我要点评
嗅友584c3aff2819f 2016-12-11
http://bbs.xdaili.cn/forum.php?mod=viewthread&tid=13&extra=page%3D1 貌似有下载
点评
2016-12-11

向白7    :你这太小儿科,把mkv改成txt就放上来冒充

回复
+1
+1
我要点评
邮箱,QQ,身份证,电话,这些关键数据如果明文的话,估计一大批人会受到损失.(我的也有可能在里面啊啊啊啊啊啊@!!!!)
点评
2016-12-11

发如雪    :@暂时想不出什么好名字 这个东西肯定明文,除了密码是不可逆的md5,这些数据是要随取随用的,一般都不会加密,要不然成本太高。

回复
+1
+1
我要点评
大大大兔子 2016-12-10
如果证实数据来自京东数据库,刘强东瞬间爆炸。
点评
2016-12-11

dxgfalcongbit    :回复 @大大大兔子 :这是YY还是预言?没炸的话你吃键盘吗?

回复
+1
+1
我要点评
谜訫 ⌒ * 2016-12-11
所以每次我都将密码用md5加密两次
+1
+1
我要点评
时代的脚步声 2017-07-24
我不懂,求老哥解答,他们获取了这种数据干什么?为什么我看到许多都在收集这种数据库数据的人?到底拿来干什么?
+1
+1
我要点评
嗅友5879943306431 2017-01-14
注意!注意!
京东泄露用户信息!京东泄露用户信息!京东泄露用户信息!
我已经受到损失正在报警,我希望京东给我一个说法,和京东有关的所有信息都泄露,包括身份证(已经被人利用)、银行卡(银行卡已经被人操作)、电话号码(已经被人操作)、白条(额度已经被人消费)等等重要的信息!!!!
我需要京东给我一个说法,让他们锁定账户和手机号还有身份证信息以后还有人在操作我的白条,让京东给我解释但是解释不通,让他们提供资料他们不给提供!
我需要京东给我一个说法!!!!
+1
+1
我要点评
嗅友5879943306431 2017-01-14
注意!注意!
京东泄露用户信息!京东泄露用户信息!京东泄露用户信息!
我已经受到损失正在报警,我希望京东给我一个说法,和京东有关的所有信息都泄露,包括身份证(已经被人利用)、银行卡(银行卡已经被人操作)、电话号码(已经被人操作)、白条(额度已经被人消费)等等重要的信息!!!!
我需要京东给我一个说法,让他们锁定账户和手机号还有身份证信息以后还有人在操作我的白条,让京东给我解释但是解释不通,让他们提供资料他们不给提供!
我需要京东给我一个说法!!!!
+1
+1
我要点评
修行de女子 2016-12-12
数据泄露是常态,告诉你这个世界上没有秘密可言,真的秘密就是存在于你的肚子里而不告知任何人。
+1
+1
我要点评
daney248 2016-12-12
敏感信息不是早给运营商卖光了吗
+1
+1
我要点评
uchiha康 2016-12-12
反正我的账号找不回来了 ,估计是被人拿了。白条还没还完呢
+1
+1
我要点评
三子 2016-12-11
科技越发达对人类的危害就越大。
+1
+1
我要点评
金隅南湖 2016-12-11
@嘉博学长666
+1
+1
我要点评
我只能呵呵了 2016-12-11
玩一把狠的吧。不管是买还是卖的,抓到一个枪毙一个,正好还能缓解一下人口压力。
+1
+1
我要点评
牛仔也怕虎 2016-12-11
有明文密码???
+1
+1
我要点评
点击加载更多