京东数据泄露揭秘：信息黑色产业链由来已久

　　Hi商学院最新消息：12月11日，京东官方确认了数据泄露的真实性并表示此次数据泄露源于2013年Struts2的安全漏洞问题，已经完成了系统修复。

　　而据Hi商学院所知，就整个信息数据黑色产业链来看，京东数据泄露仅仅凤毛麟角。

　　我们如果在微博上以“开房数据查询”作为关键字进行查询，不少用户在微博上表示可以查询出入境、银行流水、手机定位等信息，并明确表明可查询的内容、所需要的时间等。

　　依照相关业内人士介绍，个人信息数据泄露渠道众多，而在互联网时代信息数据的价值越来越凸显，目前虽然有相关法律法规保障信息，但由于信息流通次数过大、立案调查成本过高，导致很难寻根溯源找到售卖数据的组织。

　　京东数据泄露事件已与警方沟通

　　12月10日，网传疑似京东12GB用户数据被明码标价售卖，被泄露的数据包括用户名、密码、邮箱、电话号码、身份证等多个维度，数据多达数千万条。

　　在大量网友的质疑声中，12月11日，京东在其官方微信公众号“ 京东黑板报”上发布了题为《关于有媒体报道京东数据安全问题的声明》，确认了数据泄露的真实性。京东表示，经信息安全部门依据报道内容初步判断，此次数据泄露源于2013年Struts2的安全漏洞问题，已经完成了系统修复。同时针对可能存在信息安全风险的用户进行了安全升级提示。此外，京东还建议用户高度重视信息安全和隐私保护，运用高强度密码等提高账户安全等级。

　　12月14日，京东公关部门表示，已经和警方沟通了这一事件，关于数据泄露事件以京东官方回复为准。

　　据了解，出现安全漏洞的Struts2是一个Web框架，普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。12月13日，武汉大学计算机学院教授陈晶解释道：“Struts来源于建筑和旧式飞机中使用的支持金属架。这个框架叫‘Struts’，是为了提醒我们记住那些支撑房屋、桥梁的基础支撑。这也是一个解释Struts在开发Web应用程序中所扮演角色的精彩描述，当建立一个物理建筑时，建筑工程师使用支柱为建筑的每一层提供支持。同样，软件工程师使用Struts为业务应用的每一层提供支持。它的目的是为了帮助我们减少在运用MVC(Model-View-Controller) 设计模型来开发Web应用的时间。”

　　陈晶表示，Struts2是当前web开发广泛采用的开源架构，虽然比Struts安全，但仍存在各种安全漏洞。随着各种补丁的公布，当前安全性有所提高。但企业不能将所有的安全问题归结为Web开发框架的安全性问题，而应该综合采用如防火墙、入侵检测系统、加密存储等多种防护手段，保障用户的数据安全。

　　值得注意的是，京东声明中提及的“2013年Struts 2的安全漏洞问题”指的是在2013年7月17日，Struts2曾出现的高危漏洞，攻击者可以利用该漏洞执行恶意Java代码，最终导致网站数据被窃取、网页被篡改等严重后果。

　　互联网观察人士、河豚品牌创始人王鹏辉表示，2013年的Struts2漏洞本身是一个很常规的安全漏洞，但由于当时Struts团队处理不当，直接对外公布了此漏洞，导致黑客很容易对采用Struts2技术的平台进行攻击，京东是事件中的受害者。据悉，Struts2事件影响力巨大，国内很多知名网站都受到此漏洞不同程度的影响，甚至商业银行和国家级的政府网站也未能幸免。

　　数据泄露已是普遍现象

　　我们回顾发现，这已不是京东第一次陷入数据泄露危机。2015年“3·15”前夕，京东被曝出大量用户隐私信息遭到泄露。直至2016年4月，这场数据泄露事件被查明：京东商城3名员工越权登录公司数据库系统，非法获取用户姓名、电话、地址、所购货物等信息，共达到9313条，而后3人将信息卖出，非法获利近4万元。

　　12月13日，京东集团高级副总裁王振辉表示：“大家对信息安全重视的程度已经大大提升了，现在京东无论从组织上还是内部制度上都非常重视信息安全，因为平台中有上亿的消费者，信息安全保护是公司第一要务。”

　　值得关注的是，当前数据泄露问题并不是个案，而是一个较为普遍的现象。2016年，数据泄露的安全事件数不胜数，时代华纳30万客户数据泄露、凯悦连锁酒店318家酒店客户信息被窃取、苹果App Store逾千应用存漏洞、信诚人寿信息安全曝漏洞、Verizon 150万客户记录遭泄露、学信网数据泄露……

　　陈晶指出：“由于大多数用户都习惯于记住几个常用密码以登录不同的应用，所以泄露出去的密码所带来的影响绝不仅在京东这个应用中。”他表示，漏洞修补只能保证数据不会再通过该漏洞泄露出去，而数据一旦流进黑市，就很难避免重复买卖。“问题的关键还是在于企业应该加大安全投入，防止数据流出。”

　　信息数据常被反复售卖

　　随着互联网的普及，数据泄露已成为互联网安全的痛点。不可否认的是，个人信息的黑色产业链已经形成，其中存在数据提供方和数据中间商以及数据购买者三个环节，而且从木马制作、攻击渗透、个人信息的获取、信息交易等各个环节都有专门的人负责。

　　据了解，个人信息主要有三个用途，第一个是用于推广，包括短信、EDM(电子邮箱营销)等推广方式，可以获得不菲的广告费;第二个是用于销售，数据买家掌握了精准的人群之后可以更好地进行推销，如买房的就推销装修、建材、家电等产品，买车的就推销维修保养、保险等服务;而最暴利的就是诈骗行为，由于数据买家清晰掌握个人信息，诈骗难度降到更低。

　　“这些数据通常会被多次倒手，价格不一。”猎豹移动安全专家李铁军在12月13日表示，“单次数据售卖的价格看起来并不高，大量的数据只需要几千元左右，但对于买家的潜在价值非常大。”

　　李铁军指出：“京东三年前的系统漏洞导致的数据泄露到现在才被发现，是因为黑市的交易非常封闭，外人几乎无法知晓，通常是过了很长时间之后，数据才被流传到正常的交际圈中。正常的‘圈子’和黑市交易的‘圈子’之间会有很长时间的延迟。”

　　多位业内人士表示，由于个人信息常被反复售卖，并且买家之间的信息往往不共享，导致信息安全事件发生之后，立案调查成本高，也很难寻根溯源找到售卖数据的组织，由此导致通过法律手段进行制裁的难度加大。

　　对于京东数据泄露事件和后续问题Hi商学院将会持续关注，并且希望相关监管部门加大力度肃清电子商务网络个人信息，不然真可能人人自危了。