京东回应 12G 数据泄露: Struts2 的锅

2016-12-11 08:52:07 +08:00
 depress
12 月 10 日晚间,京东被曝数据外泄。

据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多达数千万条。

京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

http://www.jiemian.com/article/1008222.html
15586 次点击
所在节点    分享发现
80 条回复
zjqzxc
2016-12-11 10:05:38 +08:00
2013 年的漏洞(信息泄露)现在被人曝光出来了才承认,这三年(没有被曝光的这段时间)间造成的损失狗东也就一概甩锅给用户了呗。
反正零星用户报告,完全可以说你的账号是被撞库了而不是我们被脱裤了。加上狗东没有明显的异常登录提醒,绝大多数未造成实际损失的用户可能根本意识不到自己被泄露了。

狗东的道德一定是被狗给吃了
des
2016-12-11 10:15:03 +08:00
@zjqzxc 根本没吐槽对方向。文中有说是 2013 年就开始泄露的吗?
也没有说京东 2013 年就知道了, 说不定京东也是最近才知道的呢?要不然也不会现在才修复啊。

2013 年就爆出的漏洞,现在才修复,根本没把用户数据安全当回事。
> 这才是正确的吐槽
21grams
2016-12-11 10:20:50 +08:00
密码也泄露了? 难道存的是明文?
fuxkcsdn
2016-12-11 10:21:15 +08:00
应该不至于是明文密码吧😳
9hills
2016-12-11 10:22:56 +08:00
说实话,不是很理解用 MD5 保存密码的,哪怕是加 salt


明明有很多专门设计用来保存密码的算法……
epicnoob
2016-12-11 10:32:30 +08:00
大一注册京东,一直没用;大三突然密码被改了,找回密码需要一个不认识的手机收验证码,投诉客服说这手机不是我的,没用;大四突然用原来的密码又能上了。肯定偷偷摸摸恢复了。
chanssl
2016-12-11 10:35:36 +08:00
@des 我对声明的理解是: 2013 年 Strust2 漏洞爆出后就被修复了。
srx1982
2016-12-11 10:36:41 +08:00
官方声明的官方页面在哪??
chanssl
2016-12-11 10:37:05 +08:00
@21grams
@fuxkcsdn 看报道里的描述,应该是 MD5 ,不过好像没加盐🤕
Cavolo
2016-12-11 10:44:39 +08:00
13 年还没注册 jd 呢
loading
2016-12-11 10:44:48 +08:00
@9hills 只要 salt 够好,我觉得没问题。

这不是保存密码,只保存了密码验证信息和保存密码是两码事。
dd99iii
2016-12-11 10:47:45 +08:00
@srx1982 微博
srx1982
2016-12-11 10:59:27 +08:00
@dd99iii 微博时间线混乱,翻了几下才看到,谢谢
quericy
2016-12-11 11:08:14 +08:00
"京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。 "

是 13 年爆出漏洞后就修了,还是 11 号才修的?
killerv
2016-12-11 11:08:30 +08:00
@9hills md5 加 salt 没什么毛病,重点不在加密算法上而在于防止被脱裤
wuxiao2522
2016-12-11 11:10:36 +08:00
那么多白条被盗的,是不是也因为这个。不敢开白条,也没有实名制。京东貌似说京豆要实名制以后才能用了,没卵它。
crossoverJie
2016-12-11 11:13:35 +08:00
现在还有用 Struts2 的?
hanru
2016-12-11 11:31:37 +08:00
根据京东的回应和另一篇新闻总结一下:数据是真的;是 2013 年泄露的数据,不是新泄露; 3 年前,京东使用 MD5 “加密”用户密码,且没有 salt 。
razios
2016-12-11 11:49:43 +08:00
京东的安全性真的不太行,之前的账户被修改也有不少人,信用卡 cvv 乱输都能付款...想起来背后都发凉,京东搞金融还是缺乏安全感.
xcjzv
2016-12-11 12:00:10 +08:00
@KenGe 求链接


ps : loc 是啥啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326773

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX