京東千萬條賬戶數據泄露？京東回應稱系2013年的漏洞所致

昨天晚間，來自網路媒體一本財經的消息，12GB京東賬戶數據在暗網流通，數據多達數千萬條。據說本次泄露的賬戶數據包括了用戶名、密碼、郵箱地址、QQ號、電話號碼、身份證等信息。不過密碼經過了MD5加密。一本財經在報道中提到：

一些地下渠道，開始對數據進行明碼標價，價格從「10萬到70萬」不等。

這真可謂重磅炸彈了。不過京東今天已經正式給出回應，確認這部分數據泄露是緣於2013年的Struts 2安全漏洞，並表示京東很早就已經修復了此漏洞，而且當時已經提示存在風險的賬戶進行安全升級。

這份聲明一定程度確認了一本財經所說數據泄露的存在事實。只不過按照京東的說法，泄露的數據理論上已經是3年前的了。隨著12.12臨近，如果京東官方的說明屬實，一本財經選擇在這個時間點曝光，不免令人深思。

是以前泄露的數據？

我們實際上沒有從一本財經的報道中看到這份數據究竟在哪個黑市流通。不過報道中的確呈現了一些截圖，並且據說嘗試根據其中列出的用戶名和已破解的密碼登錄京東，的確是能夠登錄的——由於某些用戶的密碼比較簡單，所以即便密碼經過了加密，要破解也並不需要太長時間。

一旦登錄京東，危害性自不必多說：在京東的交易記錄、訂單、地址等信息就能輕易查到。另外，黑客還可以利用這些數據前往其他網站撞庫，畢竟的確會有不少人在不同的站點採用相同的賬戶和密碼。

不過報道中提到，這份數據已經被銷售多次，

「至少有上百個黑產者手中掌握了數據」。而且「數據外泄的時間已經比較長了，至於為何現在又流通，原因未明」。

京東在今天的聲明中提到：

「

經京東信息安全部門依據報道內容初步判斷，該數據源於2013年Struts 2的安全漏洞問題，當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響，導致大量數據泄露。京東在Struts 2的安全問題發生後，就迅速完成了系統修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶並未及時升級賬號安全，依然存在一定風險。」

這表明數據泄露的情況的確存在，只不過數據是前幾年的了。無論如何，京東用戶還是需要提高警惕的。

泄露數據已經提供下載？

從昨天晚上開始，網上就在流傳下面截圖中這份「數據下載」——據說這就是本次京東泄露的數據，格式為jd1~4.txt。文件尺寸看起來還真是挺大。我們也特別下載證實：

這四個文件均為國產古裝戲，並不是泄露數據。jd1~3.txt是俠僧探案， jd4.txt是陸小鳳。

京東數據泄露，這不是第一次了

京東過去兩年就曾經發生過數據泄露事件：2014年3月，網上傳言京東被拖庫。不過當時京東發表聲明說並沒有發生大規模用戶信息泄露，只是部分帳號被盜——這些帳號原本的安全性就比較差。

而在2015年，京東真的發生了一次數據泄露。調查後，京東說是內鬼所致——當時《法制晚報》報道稱，京東內部3名負責物流的員工通過QQ群聯繫買家，總共售出超9000條用戶信息。最後經犯罪嫌疑人供認，他們實際非法獲取了近3萬條數據：最初他們按照3毛一條信息的價格賣，之後漲到5毛，最後1.5元/條。

當時甚至有「數百用戶欲集體起訴京東」的新聞出現，那次數據泄露事件據說致數百名用戶被騙，總金額達到了數百萬。除此之外，2014年支付寶20GB用戶資料泄露、2012年1號店90萬用戶資料泄露，而且出售價格據說都還很便宜。對電商而言，安全問題早就迫在眉睫。

因此，登錄帳號不要採用過於簡單的密碼、開啟多重認證機制等，對於用戶而言還是必要的。京東也再聲明中提到：

「京東在此也強烈建議用戶高度重視信息安全和隱私保護，在涉及到財產的電商、支付類系統中使用獨特的用戶名和登錄密碼，開啟手機驗證和支付密碼，並將登錄密碼和支付密碼設為高強度的複雜密碼，提高賬戶安全等級。

」

如果你真的放心不下，還是儘快去把京東賬戶的登錄密碼改了吧！

不過身份證號、電話號碼、QQ等資料泄露，這事兒還是相當尷尬。

* 參考來源：一本財經、京東黑板報，本文作者：ArthurKiller & 歐陽洋蔥，轉載請註明來自FreeBuf.COM