京东回应 12G 数据泄露: Struts2 的锅

2016-12-11 08:52:07 +08:00
 depress
12 月 10 日晚间,京东被曝数据外泄。

据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多达数千万条。

京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

http://www.jiemian.com/article/1008222.html
15587 次点击
所在节点    分享发现
80 条回复
KenGe
2016-12-11 12:00:58 +08:00
@xcjzv 冒失已经被百度云屏蔽了 hostloc
xcjzv
2016-12-11 12:01:08 +08:00
@KenGe loc 是啥啊
SilentDepth
2016-12-11 12:02:45 +08:00
@yilin101 @quericy
应该是 2013 年 Struts2 爆出漏洞的时候就修了,那之前泄露的数据。黑客拖完数据之后先自己利用一下,用得差不多了再放出来交易(也就是现在)
xcjzv
2016-12-11 12:03:07 +08:00
@KenGe 网络不好发重复了 你转存了嘛?
xuan880
2016-12-11 12:03:11 +08:00
哪里可以查到自己的账号在不在这个数据库里面?
KenGe
2016-12-11 12:06:31 +08:00
@xcjzv 转存都被干掉了~直接净网了~
xcjzv
2016-12-11 12:10:58 +08:00
@KenGe hoc 那个假的 4 本电影
sxzyabcd
2016-12-11 12:11:59 +08:00
在百度云网盘上有关于京东的数据库下载,格式为 jd1~4.txt 。经过证实,这四个文件均为国产古装戏,并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈 侠僧探案传奇之将军府 侠僧探案传奇之催命符, jd4.txt 是陆小凤传奇之大金鹏王
wzxjohn
2016-12-11 12:13:25 +08:00
loc 的车是乌云新社区转的,假的,四部电视剧。
KenGe
2016-12-11 12:16:00 +08:00
@xcjzv 噗 那百度直接封了?
radiolover
2016-12-11 12:18:33 +08:00
@d7101120120 公安户籍身份证数据库,电信公司实名信息。能混在黑产圈这种高利润的地方,哪个没有高层的背景?
xcjzv
2016-12-11 12:44:08 +08:00
@wzxjohn 求个乌云新社区网站
9hills
2016-12-11 13:18:58 +08:00
@loading
@killerv md5 性能太好了,是个问题。一旦 salt 以及对应的加 salt 方式泄漏就完了

有些替代算法故意降低性能,甚至可以自定义性能,避免彩虹表攻击。哪怕所有算法, salt 全部泄漏,也不怕

至于防止脱裤,这个是另外的事情,不冲突。
RqPS6rhmP3Nyn3Tm
2016-12-11 13:24:18 +08:00
人在国外,旧手机号停用,不让改密码和呵呵呵呵
CRH
2016-12-11 13:28:11 +08:00
@BXIA 登录 Web 版,有不需要手机的验证方式
yilin101
2016-12-11 13:47:46 +08:00
@SilentDepth 那没什么影响
ryd994
2016-12-11 13:51:15 +08:00
@9hills
你看,就是因为有“觉得没问题”的人, 所以…………呵呵

@loading
@killerv
建议你们认真读一下这篇: https://crackstation.net/hashing-security.htm
如果还当自己是个工程师,而不仅仅是码农,那就要有作为工程师的自觉
“觉得没问题”在工程领域是不可接受的理由
如果你觉得没问题,证明它

我高中时第一次写站,虽然从来没发布过,但写到帐号处理的时候还是查了不少资料
RqPS6rhmP3Nyn3Tm
2016-12-11 13:58:51 +08:00
@CRH 我用的就是 web 端
sobigfish
2016-12-11 14:18:57 +08:00
进不去 web 的改密码页面-。-

根本不是 java 的锅,是他们自己对密码安全一点防范都没有 salt 没被盗的可能性不大-。-
现在就看是每人专有 salt 还是统一的 salt ?
sheldor
2016-12-11 14:33:54 +08:00
@id2 实名制难道不是人民政府强制要求的?不管实名不实名京东都一样卖东西,想想三大运营商 他们真的想实名制嘛,平白无故增加了多少成本

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326773

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX