京東數(shù)據(jù)泄露揭秘：信息黑色產(chǎn)業(yè)鏈由來已久

　　Hi商學院最新消息：12月11日，京東官方確認了數(shù)據(jù)泄露的真實性并表示此次數(shù)據(jù)泄露源于2013年Struts2的安全漏洞問題，已經(jīng)完成了系統(tǒng)修復(fù)。

　　而據(jù)Hi商學院所知，就整個信息數(shù)據(jù)黑色產(chǎn)業(yè)鏈來看，京東數(shù)據(jù)泄露僅僅鳳毛麟角。

　　我們?nèi)绻谖⒉┥弦?ldquo;開房數(shù)據(jù)查詢”作為關(guān)鍵字進行查詢，不少用戶在微博上表示可以查詢出入境、銀行流水、手機定位等信息，并明確表明可查詢的內(nèi)容、所需要的時間等。

　　依照相關(guān)業(yè)內(nèi)人士介紹，個人信息數(shù)據(jù)泄露渠道眾多，而在互聯(lián)網(wǎng)時代信息數(shù)據(jù)的價值越來越凸顯，目前雖然有相關(guān)法律法規(guī)保障信息，但由于信息流通次數(shù)過大、立案調(diào)查成本過高，導(dǎo)致很難尋根溯源找到售賣數(shù)據(jù)的組織。

　　京東數(shù)據(jù)泄露事件已與警方溝通

　　12月10日，網(wǎng)傳疑似京東12GB用戶數(shù)據(jù)被明碼標價售賣，被泄露的數(shù)據(jù)包括用戶名、密碼、郵箱、電話號碼、身份證等多個維度，數(shù)據(jù)多達數(shù)千萬條。

　　在大量網(wǎng)友的質(zhì)疑聲中，12月11日，京東在其官方微信公眾號“ 京東黑板報”上發(fā)布了題為《關(guān)于有媒體報道京東數(shù)據(jù)安全問題的聲明》，確認了數(shù)據(jù)泄露的真實性。京東表示，經(jīng)信息安全部門依據(jù)報道內(nèi)容初步判斷，此次數(shù)據(jù)泄露源于2013年Struts2的安全漏洞問題，已經(jīng)完成了系統(tǒng)修復(fù)。同時針對可能存在信息安全風險的用戶進行了安全升級提示。此外，京東還建議用戶高度重視信息安全和隱私保護，運用高強度密碼等提高賬戶安全等級。

　　12月14日，京東公關(guān)部門表示，已經(jīng)和警方溝通了這一事件，關(guān)于數(shù)據(jù)泄露事件以京東官方回復(fù)為準。

　　據(jù)了解，出現(xiàn)安全漏洞的Struts2是一個Web框架，普遍應(yīng)用于阿里巴巴、京東等互聯(lián)網(wǎng)、政府、企業(yè)門戶網(wǎng)站。12月13日，武漢大學計算機學院教授陳晶解釋道：“Struts來源于建筑和舊式飛機中使用的支持金屬架。這個框架叫‘Struts’，是為了提醒我們記住那些支撐房屋、橋梁的基礎(chǔ)支撐。這也是一個解釋Struts在開發(fā)Web應(yīng)用程序中所扮演角色的精彩描述，當建立一個物理建筑時，建筑工程師使用支柱為建筑的每一層提供支持。同樣，軟件工程師使用Struts為業(yè)務(wù)應(yīng)用的每一層提供支持。它的目的是為了幫助我們減少在運用MVC(Model-View-Controller) 設(shè)計模型來開發(fā)Web應(yīng)用的時間。”

　　陳晶表示，Struts2是當前web開發(fā)廣泛采用的開源架構(gòu)，雖然比Struts安全，但仍存在各種安全漏洞。隨著各種補丁的公布，當前安全性有所提高。但企業(yè)不能將所有的安全問題歸結(jié)為Web開發(fā)框架的安全性問題，而應(yīng)該綜合采用如防火墻、入侵檢測系統(tǒng)、加密存儲等多種防護手段，保障用戶的數(shù)據(jù)安全。

　　值得注意的是，京東聲明中提及的“2013年Struts 2的安全漏洞問題”指的是在2013年7月17日，Struts2曾出現(xiàn)的高危漏洞，攻擊者可以利用該漏洞執(zhí)行惡意Java代碼，最終導(dǎo)致網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴重后果。

　　互聯(lián)網(wǎng)觀察人士、河豚品牌創(chuàng)始人王鵬輝表示，2013年的Struts2漏洞本身是一個很常規(guī)的安全漏洞，但由于當時Struts團隊處理不當，直接對外公布了此漏洞，導(dǎo)致黑客很容易對采用Struts2技術(shù)的平臺進行攻擊，京東是事件中的受害者。據(jù)悉，Struts2事件影響力巨大，國內(nèi)很多知名網(wǎng)站都受到此漏洞不同程度的影響，甚至商業(yè)銀行和國家級的政府網(wǎng)站也未能幸免。

　　數(shù)據(jù)泄露已是普遍現(xiàn)象

　　我們回顧發(fā)現(xiàn)，這已不是京東第一次陷入數(shù)據(jù)泄露危機。2015年“3·15”前夕，京東被曝出大量用戶隱私信息遭到泄露。直至2016年4月，這場數(shù)據(jù)泄露事件被查明：京東商城3名員工越權(quán)登錄公司數(shù)據(jù)庫系統(tǒng)，非法獲取用戶姓名、電話、地址、所購貨物等信息，共達到9313條，而后3人將信息賣出，非法獲利近4萬元。

　　12月13日，京東集團高級副總裁王振輝表示：“大家對信息安全重視的程度已經(jīng)大大提升了，現(xiàn)在京東無論從組織上還是內(nèi)部制度上都非常重視信息安全，因為平臺中有上億的消費者，信息安全保護是公司第一要務(wù)。”

　　值得關(guān)注的是，當前數(shù)據(jù)泄露問題并不是個案，而是一個較為普遍的現(xiàn)象。2016年，數(shù)據(jù)泄露的安全事件數(shù)不勝數(shù)，時代華納30萬客戶數(shù)據(jù)泄露、凱悅連鎖酒店318家酒店客戶信息被竊取、蘋果App Store逾千應(yīng)用存漏洞、信誠人壽信息安全曝漏洞、Verizon 150萬客戶記錄遭泄露、學信網(wǎng)數(shù)據(jù)泄露……

　　陳晶指出：“由于大多數(shù)用戶都習慣于記住幾個常用密碼以登錄不同的應(yīng)用，所以泄露出去的密碼所帶來的影響絕不僅在京東這個應(yīng)用中。”他表示，漏洞修補只能保證數(shù)據(jù)不會再通過該漏洞泄露出去，而數(shù)據(jù)一旦流進黑市，就很難避免重復(fù)買賣。“問題的關(guān)鍵還是在于企業(yè)應(yīng)該加大安全投入，防止數(shù)據(jù)流出。”

　　信息數(shù)據(jù)常被反復(fù)售賣

　　隨著互聯(lián)網(wǎng)的普及，數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)安全的痛點。不可否認的是，個人信息的黑色產(chǎn)業(yè)鏈已經(jīng)形成，其中存在數(shù)據(jù)提供方和數(shù)據(jù)中間商以及數(shù)據(jù)購買者三個環(huán)節(jié)，而且從木馬制作、攻擊滲透、個人信息的獲取、信息交易等各個環(huán)節(jié)都有專門的人負責。

　　據(jù)了解，個人信息主要有三個用途，第一個是用于推廣，包括短信、EDM(電子郵箱營銷)等推廣方式，可以獲得不菲的廣告費;第二個是用于銷售，數(shù)據(jù)買家掌握了精準的人群之后可以更好地進行推銷，如買房的就推銷裝修、建材、家電等產(chǎn)品，買車的就推銷維修保養(yǎng)、保險等服務(wù);而最暴利的就是詐騙行為，由于數(shù)據(jù)買家清晰掌握個人信息，詐騙難度降到更低。

　　“這些數(shù)據(jù)通常會被多次倒手，價格不一。”獵豹移動安全專家李鐵軍在12月13日表示，“單次數(shù)據(jù)售賣的價格看起來并不高，大量的數(shù)據(jù)只需要幾千元左右，但對于買家的潛在價值非常大。”

　　李鐵軍指出：“京東三年前的系統(tǒng)漏洞導(dǎo)致的數(shù)據(jù)泄露到現(xiàn)在才被發(fā)現(xiàn)，是因為黑市的交易非常封閉，外人幾乎無法知曉，通常是過了很長時間之后，數(shù)據(jù)才被流傳到正常的交際圈中。正常的‘圈子’和黑市交易的‘圈子’之間會有很長時間的延遲。”

　　多位業(yè)內(nèi)人士表示，由于個人信息常被反復(fù)售賣，并且買家之間的信息往往不共享，導(dǎo)致信息安全事件發(fā)生之后，立案調(diào)查成本高，也很難尋根溯源找到售賣數(shù)據(jù)的組織，由此導(dǎo)致通過法律手段進行制裁的難度加大。

　　對于京東數(shù)據(jù)泄露事件和后續(xù)問題Hi商學院將會持續(xù)關(guān)注，并且希望相關(guān)監(jiān)管部門加大力度肅清電子商務(wù)網(wǎng)絡(luò)個人信息，不然真可能人人自危了。