2016-12-12 17:24 运营商世界网 马哲/文
运营商世界网 马哲/文
近日,有媒体报道称来自京东的12G数据包进入了黑市流通。今天凌晨,京东通过官方微信作出了回应,称泄露数据来自2013年的安全漏洞,该漏洞早已被京东修复,但仍有极少部分用户账号存在风险。然而,京东在2013年被发现漏洞时,曾确定地宣称“业务和用户数据都没有受到该漏洞的任何影响”,如此看来,京东的承诺委实令人难以信任。
据了解,京东被泄露的信息包源自2013年的Struts 2安全漏洞问题,泄露信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等数千万条数据。京东官方称,2013年漏洞曝出时,国内几乎所有互联网公司及大量银行、政府机构都受到了影响。京东早已补上了漏洞,并提醒用户完成安全升级。
笔者查询了京东在2013年发布的声明。当时京东称,漏洞在第一时间被补上,业务和用户数据都没有受到任何影响。这一保证被近日浮出水面的12G数据包狠狠地抽了一个耳光。
此外,尽管京东提醒了用户完成安全升级,仍有部分用户未完成操作,因此他们的账户目前仍在危险境地之中。实际上,京东对用户的账号信息有保管义务,不能因为尽了提示义务,就把信息泄露的责任推卸给用户。
有业内人士称,泄露的数据已被倒卖多次,至少上百名从事黑色产业者获得了数据。他们还会用京东的用户名和密码在别的网站进行测试,在多个网站使用同一密码的用户可能面临更大的信息安全危险。
值得注意的是,除京东外,众多国内知名网站也受到了这次Struts 2安全漏洞问题的影响,如百合网、土豆网等。尽管目前没有报道称来自上述网站的数据包进入黑市,但这些网站的用户仍要注意。被暗中倒卖的数据中,见诸报端的只是冰山一角,而且被报道的数据往往是经过多层压榨,剩余价值极少的部分。
分享至:
