又是社工库?京东12G数据库泄露(会员资料账号密码遭下载)

  • A+
所属分类:福利吧 艾微资讯

前两天艾薇资讯就收到短信说京东白条密码被改了,还好艾薇资讯立马就换了密码,之后过了一会儿又说我绑定手机被改了,找京东客服给改回来了,大家遇到这种情况第一时间改密码或者找京东客服解决。
在网络上有很多被爆刷单用户,请大家速改密码,京东12G数据库被撞库泄露,很多用户被刷单或打白条
近日在网络黑市上出现重磅“炸弹”,一个12G的京东数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。
而来自黑市买卖双方皆称,以上这些数据来自京东。
而京东方对此表示,正在紧急核实数据真伪。

京东数据泄露之迷
最近,因为这京东12G的数据包,黑产再次被搅动。
一些地下渠道,开始对数据进行明码标价交易,价格从“10万到70万”不等。
数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等

根据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。
“数据外泄的时间已比较长了,至于为何现在又流通,原因未明,”业内人士透露,暂且很难确认是“内鬼”还是“黑客盗取”。
据业内人士称,大部分数据外泄后,黑客会先进行洗库,登录账户将有价值的内容清洗一遍,比如登录游戏账户,将虚拟币转走。一般这个清洗过程,需要几个月甚至更长时间。

第二次“洗库”,才会将数据出售,“数据价值榨取殆尽了,再给市面上的人来分渣”。
值得注意的是,这些数据的用户密码都进行过MD5加密,要通过专业破解软件,才能得到原密码。
据业内人士称,一般MD5破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如123456;如果是一个新密码,破解时间就较长。
可瞬间破解的账号,一般只占3-5%。
有记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。
而姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)
在登陆京东帐号之后,用户在京东上的订单、地址、交易等信息都一览无遗。
甚至一本财经记者从数据库中搜索自己名字,发现信息也早已外泄。

“黑客拿到这些数据,还可进行撞库操作”,业内人士称。
所谓“撞库”,是一个黑产的专业术语。
就是黑客会通过已泄露的用户名和密码,尝试批量登录其他网站,获取数据。
这就是人类设计密码的缺陷,大部分人为了记得住,都会用同一个用户名和密码,导致撞库成功率极高。
伤害值最高最直接的,就是撞进一些金融账户,直接将资金转走。

2016年12月9日,一本财经向京东核实相关情况。截止发稿前,京东给出的最新回应称,目前正在找技术部门紧急核实,暂时还无法确认数据真伪。
2016年12月11日 京东承认:源于2013年安全漏洞:

又是社工库?京东12G数据库泄露(会员资料账号密码遭下载)

媒体近日称疑似京东12个G数据遭泄露,涉及用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度信息,对此,京东表示经初步判断,该数据源于2013年Struts 2的安全漏洞问题。“一本财经”近日发布文章《京东数据疑似外泄:超过12个G,涉及数千万用户》,称最近黑市上有一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。黑市买卖双方表示这些数据来自京东,而京东表示正紧急核实数据真伪。现在京东得出初步结论。

京东公司表示,经其信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但是确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”

经过艾薇资讯了解,Struts为Apache基金会赞助的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。2013年7月17日,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道,包括电商、银行、政府等诸多网站均受影响。

又是社工库?京东12G数据库泄露(会员资料账号密码遭下载)

下面是关于有媒体报道京东数据安全问题的声明:

2016-12-11 京东黑板报
昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。

京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
Ps: Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。2013年,据乌云平台漏洞报告,Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容,国内几乎所有的互联网企业,以及大量国内外银行和政府机构都出现了不同程度的信息泄露。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: