这个周末最热的新闻事件之一,莫过于所谓某小学的霸凌事件以及后续的发酵。不过与此同时,一桩所谓「京东数据疑似外泄」的消息,也着实博得了很多关注。
没办法,谁让咱们大家都是京东的客户呢?
于是大伙儿纷纷登陆自己的京东账号,一番查验下来发现并无问题。至少到本文发布之际,尚无证据显示由于本次的数据泄露而导致的财物损失。
那么我们再来回溯一下事件由来。
蠢萌的事件源头
此前的消息称,「一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条」……
据说,买卖双方均声称数据包来自京东。信息的一番流传之后,数据包也身价倍增,价格被定为10万-70万之间不等。
第一时间查验了自己的京东账号无虞之后,第二时间我就联系到安全圈内的某位牛人。(抱歉我还未能做到先人后己,以后努力,☹)
大咖表示,这个12G的数据包在圈里流传一段时间了,其起源应该是2013年Struts 2漏洞事件——那应该几乎可以算是互联网领域最大的一次漏洞攻击,国内几乎所有的互联网公司,以及大型银行、政府机构都受到波及,企业的规模越大,影响的程度也可能更高。
Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。
2013年,包括乌云平台等在内的漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作,并获取敏感内容(譬如抓取用户数据信息)。
结果呢也不知是怎么想的,蠢萌的Struts官方居然在自己的漏洞公告中直接把漏洞利用代码给贴出来了。这样做的结果是,大批没有技术能力的外行,也可以借助傻瓜化的工具对专业网站进行数据的盗取。
此前多年里,安全圈默认的行规是「提示漏洞存在,但只公布描述,不公布细节」,就是害怕漏洞细节被黑客看到后,直接利用漏洞攻击用户,结果Struts官方一举突破了行规底线,从而极大地放大了那次Struts 2事件的后果。
为啥京东成为背锅侠?
该大咖认为,这个12G的数据包不能肯定是来自京东,但是也不能否认有这种可能。毕竟在2013年的那次漏洞事件中,不仅京东,国内的BAT等互联网公司乃至银行和政府机构,也同样是受害者。
不过,将数据包打上「京东」的标签,毕竟是个大大的加分项,因为京东客户的价值确实超乎同行。试想一下,将这个数据包标记为其他公司的话,不光会贬值不少,甚至有卖不出去的可能。
大咖认为还会有这样的可能,将一部分京东的陈旧数据,与其他来源的数据混在一起,这也是「数据黑道产业」的惯常做法,算是对其他数据的某种「增值」。
「当然不值那个价!」被问及该数据包值不值10万时,大咖脱口而出。
在他看来,当年的Struts 2事件之后,包括京东在内的诸多公司和机构已经采取了措施加以预防,譬如用户再登陆会被提示更改密码,否则不予以通行。
那些黏性高、活跃度高的老用户,早在两年前事发之初就修改了密码。至于Struts 2事件之后的注册用户,他们根本不会遭遇到类似问题的袭扰。
远离数据残渣
那么,是不是说就不会有用户受到影响呢?
其实也不是。大咖仍以京东为例,假如有用户自两年前Struts 2事发至今,从来没有登录过京东账号,没有进行密码的修改,那么他的账户安全必然面临威胁。
然而问题是,两年从未登录的账户能有多少?这样的账户会有多少价值呢?我们不难判断。
黑色产业中的数据销售方,绝对不会将对他们仍然具有「剩余价值」的数据外销,大咖告诉我们。
在数据外泄后,各种黑客会登录账户将有价值的内容清洗一遍,这个过程短则几个月,长的话可能超过一年以上。
接下来,黑客们会将从A网站得到的数据,用于登陆B网站,这也就是所谓的「撞库」,通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金或其他,以达到非法获利的目的。
该大咖认为,2013年的Struts 2事件至今,历时已三年有余,看来黑色产业已经将那次的战利品价值搜刮殆尽,现在到了让数据残渣变现的时候了。对那些意欲本次购买数据源的方面来说,抛去法律问题(注切不要以身试法),这个时候接盘只能说是不智。
当年的Struts 2事件之后,微信公众号《道哥的黑板报》就曾经预言:「在接下来的一两年中,大家又会多接到很多骚扰电话和骚扰短信,有针对性的诈骗案件也会上升。」
或许,现在就到了这样一个时候。
胖头陀的贴士
尽管我认为,此次的所谓数据外泄事件带来的危险可能并不大,不过出于安全考虑,还是在这里小小贴士一下。
♡ 强烈建议在涉及到财产的电商、支付类系统中使用独特的用户名和密码,避免被撞库攻击的风险;
♡ 不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全。
♡ 注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵、植入木马等。
♡ 注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站;
♡ 对于打着电商客户名义而来的电话、QQ应该格外小心,避免点击通过即时通讯软件发过来的所谓退货、用户中心网址。
京东的警示
针对本次的疑似数据外泄事件,京东方面也是高度重视,他们确认本次的数据源于2013年Struts 2的安全漏洞问题,并提醒用户:
♢ 京东7x24小时全天候客服电话400-606-5500只用于接听客户来电,进行外呼业务时不会显示400-606-5500、+400-606-5500、861400-606-5500、或手机号码 ,更不会以QQ方式与用户沟通;
♢ 京东工作人员从未引导消费者进行ATM转账;从未以消费者中奖为由,收取所谓的邮寄费、过关费等;从未以电话、咚咚、QQ等工具推销过任何形式的打折卡、贵宾卡;也从未以订单无效需为消费者退款为由主动索取消费者银行卡信息。
♢ 如有任何组织或个人以京东名义通过电话 、咚咚、QQ等聊天工具向客户收取前述费用或者推销打折卡、贵宾卡的,或者使用各种即时通讯工具发送商品需重新支付或退款的链接的,均属诈骗行为。客户若遇到类似情况,可及时反馈京东客服人员;若因此遭受损失,京东建议客户及时报警,并通知京东客户服务人员。
♢ 京东将积极配合相关部门对此类行为进行调查处理,并尽一切努力,协助客户维护合法权益,京东保留追究相关违 法人员法律责任的一切权利。
另外,京东特别提醒消费者,有关京东的客服电话,请以京东平台网站公布的信息为准,谨防上当受骗。
【本文为51CTO专栏“胖头陀”原创稿件,转载请联系原作者(微信号:it-observer)】
