京東數(shù)據(jù)泄露揭秘:信息黑色產(chǎn)業(yè)鏈由來已久
Hi商學(xué)院最新消息:12月11日,京東官方確認(rèn)了數(shù)據(jù)泄露的真實性并表示此次數(shù)據(jù)泄露源于2013年Struts2的安全漏洞問題,已經(jīng)完成了系統(tǒng)修復(fù)。
而據(jù)Hi商學(xué)院所知,就整個信息數(shù)據(jù)黑色產(chǎn)業(yè)鏈來看,京東數(shù)據(jù)泄露僅僅鳳毛麟角。
我們?nèi)绻谖⒉┥弦?ldquo;開房數(shù)據(jù)查詢”作為關(guān)鍵字進(jìn)行查詢,不少用戶在微博上表示可以查詢出入境、銀行流水、手機(jī)定位等信息,并明確表明可查詢的內(nèi)容、所需要的時間等。
依照相關(guān)業(yè)內(nèi)人士介紹,個人信息數(shù)據(jù)泄露渠道眾多,而在互聯(lián)網(wǎng)時代信息數(shù)據(jù)的價值越來越凸顯,目前雖然有相關(guān)法律法規(guī)保障信息,但由于信息流通次數(shù)過大、立案調(diào)查成本過高,導(dǎo)致很難尋根溯源找到售賣數(shù)據(jù)的組織。
京東數(shù)據(jù)泄露事件已與警方溝通
12月10日,網(wǎng)傳疑似京東12GB用戶數(shù)據(jù)被明碼標(biāo)價售賣,被泄露的數(shù)據(jù)包括用戶名、密碼、郵箱、電話號碼、身份證等多個維度,數(shù)據(jù)多達(dá)數(shù)千萬條。
在大量網(wǎng)友的質(zhì)疑聲中,12月11日,京東在其官方微信公眾號“ 京東黑板報”上發(fā)布了題為《關(guān)于有媒體報道京東數(shù)據(jù)安全問題的聲明》,確認(rèn)了數(shù)據(jù)泄露的真實性。京東表示,經(jīng)信息安全部門依據(jù)報道內(nèi)容初步判斷,此次數(shù)據(jù)泄露源于2013年Struts2的安全漏洞問題,已經(jīng)完成了系統(tǒng)修復(fù)。同時針對可能存在信息安全風(fēng)險的用戶進(jìn)行了安全升級提示。此外,京東還建議用戶高度重視信息安全和隱私保護(hù),運用高強(qiáng)度密碼等提高賬戶安全等級。
12月14日,京東公關(guān)部門表示,已經(jīng)和警方溝通了這一事件,關(guān)于數(shù)據(jù)泄露事件以京東官方回復(fù)為準(zhǔn)。
據(jù)了解,出現(xiàn)安全漏洞的Struts2是一個Web框架,普遍應(yīng)用于阿里巴巴、京東等互聯(lián)網(wǎng)、政府、企業(yè)門戶網(wǎng)站。12月13日,武漢大學(xué)計算機(jī)學(xué)院教授陳晶解釋道:“Struts來源于建筑和舊式飛機(jī)中使用的支持金屬架。這個框架叫‘Struts’,是為了提醒我們記住那些支撐房屋、橋梁的基礎(chǔ)支撐。這也是一個解釋Struts在開發(fā)Web應(yīng)用程序中所扮演角色的精彩描述,當(dāng)建立一個物理建筑時,建筑工程師使用支柱為建筑的每一層提供支持。同樣,軟件工程師使用Struts為業(yè)務(wù)應(yīng)用的每一層提供支持。它的目的是為了幫助我們減少在運用MVC(Model-View-Controller) 設(shè)計模型來開發(fā)Web應(yīng)用的時間。”
陳晶表示,Struts2是當(dāng)前web開發(fā)廣泛采用的開源架構(gòu),雖然比Struts安全,但仍存在各種安全漏洞。隨著各種補(bǔ)丁的公布,當(dāng)前安全性有所提高。但企業(yè)不能將所有的安全問題歸結(jié)為Web開發(fā)框架的安全性問題,而應(yīng)該綜合采用如防火墻、入侵檢測系統(tǒng)、加密存儲等多種防護(hù)手段,保障用戶的數(shù)據(jù)安全。
值得注意的是,京東聲明中提及的“2013年Struts 2的安全漏洞問題”指的是在2013年7月17日,Struts2曾出現(xiàn)的高危漏洞,攻擊者可以利用該漏洞執(zhí)行惡意Java代碼,最終導(dǎo)致網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴(yán)重后果。
互聯(lián)網(wǎng)觀察人士、河豚品牌創(chuàng)始人王鵬輝表示,2013年的Struts2漏洞本身是一個很常規(guī)的安全漏洞,但由于當(dāng)時Struts團(tuán)隊處理不當(dāng),直接對外公布了此漏洞,導(dǎo)致黑客很容易對采用Struts2技術(shù)的平臺進(jìn)行攻擊,京東是事件中的受害者。據(jù)悉,Struts2事件影響力巨大,國內(nèi)很多知名網(wǎng)站都受到此漏洞不同程度的影響,甚至商業(yè)銀行和國家級的政府網(wǎng)站也未能幸免。
數(shù)據(jù)泄露已是普遍現(xiàn)象
我們回顧發(fā)現(xiàn),這已不是京東第一次陷入數(shù)據(jù)泄露危機(jī)。2015年“3·15”前夕,京東被曝出大量用戶隱私信息遭到泄露。直至2016年4月,這場數(shù)據(jù)泄露事件被查明:京東商城3名員工越權(quán)登錄公司數(shù)據(jù)庫系統(tǒng),非法獲取用戶姓名、電話、地址、所購貨物等信息,共達(dá)到9313條,而后3人將信息賣出,非法獲利近4萬元。
12月13日,京東集團(tuán)高級副總裁王振輝表示:“大家對信息安全重視的程度已經(jīng)大大提升了,現(xiàn)在京東無論從組織上還是內(nèi)部制度上都非常重視信息安全,因為平臺中有上億的消費者,信息安全保護(hù)是公司第一要務(wù)。”
值得關(guān)注的是,當(dāng)前數(shù)據(jù)泄露問題并不是個案,而是一個較為普遍的現(xiàn)象。2016年,數(shù)據(jù)泄露的安全事件數(shù)不勝數(shù),時代華納30萬客戶數(shù)據(jù)泄露、凱悅連鎖酒店318家酒店客戶信息被竊取、蘋果App Store逾千應(yīng)用存漏洞、信誠人壽信息安全曝漏洞、Verizon 150萬客戶記錄遭泄露、學(xué)信網(wǎng)數(shù)據(jù)泄露……
陳晶指出:“由于大多數(shù)用戶都習(xí)慣于記住幾個常用密碼以登錄不同的應(yīng)用,所以泄露出去的密碼所帶來的影響絕不僅在京東這個應(yīng)用中。”他表示,漏洞修補(bǔ)只能保證數(shù)據(jù)不會再通過該漏洞泄露出去,而數(shù)據(jù)一旦流進(jìn)黑市,就很難避免重復(fù)買賣。“問題的關(guān)鍵還是在于企業(yè)應(yīng)該加大安全投入,防止數(shù)據(jù)流出。”
信息數(shù)據(jù)常被反復(fù)售賣
隨著互聯(lián)網(wǎng)的普及,數(shù)據(jù)泄露已成為互聯(lián)網(wǎng)安全的痛點。不可否認(rèn)的是,個人信息的黑色產(chǎn)業(yè)鏈已經(jīng)形成,其中存在數(shù)據(jù)提供方和數(shù)據(jù)中間商以及數(shù)據(jù)購買者三個環(huán)節(jié),而且從木馬制作、攻擊滲透、個人信息的獲取、信息交易等各個環(huán)節(jié)都有專門的人負(fù)責(zé)。
據(jù)了解,個人信息主要有三個用途,第一個是用于推廣,包括短信、EDM(電子郵箱營銷)等推廣方式,可以獲得不菲的廣告費;第二個是用于銷售,數(shù)據(jù)買家掌握了精準(zhǔn)的人群之后可以更好地進(jìn)行推銷,如買房的就推銷裝修、建材、家電等產(chǎn)品,買車的就推銷維修保養(yǎng)、保險等服務(wù);而最暴利的就是詐騙行為,由于數(shù)據(jù)買家清晰掌握個人信息,詐騙難度降到更低。
“這些數(shù)據(jù)通常會被多次倒手,價格不一。”獵豹移動安全專家李鐵軍在12月13日表示,“單次數(shù)據(jù)售賣的價格看起來并不高,大量的數(shù)據(jù)只需要幾千元左右,但對于買家的潛在價值非常大。”
李鐵軍指出:“京東三年前的系統(tǒng)漏洞導(dǎo)致的數(shù)據(jù)泄露到現(xiàn)在才被發(fā)現(xiàn),是因為黑市的交易非常封閉,外人幾乎無法知曉,通常是過了很長時間之后,數(shù)據(jù)才被流傳到正常的交際圈中。正常的‘圈子’和黑市交易的‘圈子’之間會有很長時間的延遲。”
多位業(yè)內(nèi)人士表示,由于個人信息常被反復(fù)售賣,并且買家之間的信息往往不共享,導(dǎo)致信息安全事件發(fā)生之后,立案調(diào)查成本高,也很難尋根溯源找到售賣數(shù)據(jù)的組織,由此導(dǎo)致通過法律手段進(jìn)行制裁的難度加大。
對于京東數(shù)據(jù)泄露事件和后續(xù)問題Hi商學(xué)院將會持續(xù)關(guān)注,并且希望相關(guān)監(jiān)管部門加大力度肅清電子商務(wù)網(wǎng)絡(luò)個人信息,不然真可能人人自危了。