1
12月10日晚间,京东被媒体爆料有12G的数据遭泄漏,外泄数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多种信息。该消息被多家媒体转发及朋友圈发酵后引起了广泛关注,致使京东不得不在凌晨,在微信公众号“京东黑板报”上紧急发声明回应。
它的回应全文如下,为了更好地理解这份声明,雷锋网编辑在文中加入了括号进行解读。
昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。
(初步判断这不是一则假新闻,但是事情发生得比较早啦,都是3年前发生的,当时不是京东一家躺枪——还有政府和银行。)
京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。
(放心,这个问题发生后,京东就行动了,所以你们看到的是“旧闻”,没有曝光的那么夸大。)
但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
(不过,还是有少量用户信息泄漏,但不怪京东,是用户没有及时升级帐户安全。)
京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
(京东是很重视信息安全的!)
同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
(你们这些黑产,再搞事我就跟警察蜀黍说!)
Ps: Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有的互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。
(你们没有搞清楚 Struts 漏洞是什么,再强调一遍,别人也都在用,也几乎都泄漏了!)
再啰嗦点评一下:本来朋友圈很多人不不知道,一转发就都知道了。京东应该说下13年数据泄漏后做了哪些事情避免数据泄漏带来的危害,否则最后一定会被说为什么不早告知用户。
最后,昨晚其实雷锋网的编辑同事在京东数据被泄漏这则新闻刊发后,就积极表示要去下载网络流传的 12G 数据包一探真相,结果这份网传的数据包下载下来后是——《侠僧探案传奇》。
也许,这些“珍贵”的数据包目前尚在黑产行业流传,通过公开渠道无法获得。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。