京东回应 12G 数据泄露: Struts2 的锅

2016-12-11 08:52:07 +08:00
 depress
12 月 10 日晚间,京东被曝数据外泄。

据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多达数千万条。

京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

http://www.jiemian.com/article/1008222.html
15587 次点击
所在节点    分享发现
80 条回复
mrlawrence
2016-12-11 14:39:58 +08:00
一想到我学信网资料都被脱裤了,京东这都不算什么。随他去吧,反正只是增加社工库规模而已。
裸奔多好,自由自在。
操蛋。
realpg
2016-12-11 15:22:54 +08:00
@d7101120120
最近二手东的领券,大部分比较好的券要求账户银行卡四合一实名
然后这些二手东的老数据就没啥用了……
于是就流传到表层的黑产交易市场 然后大家就知道了
chinafeng
2016-12-11 15:25:51 +08:00
@wzxjohn 乌云新社区 ?
Showfom
2016-12-11 15:38:09 +08:00
还好我京东的密码从来都是随机的 偷去也没用 又没绑定什么东西
rosu
2016-12-11 15:42:01 +08:00
@BXIA 要先用客户端实名认证之后才能改密码....
9hills
2016-12-11 15:50:56 +08:00
@sobigfish 如果是可变 salt ,比如以 uid 为 salt ,可能问题不是特别大。

但是固定 salt 的话,彩虹表来一波……

不过我看有人说貌似没有加 salt ,好顶赞
feikaras
2016-12-11 15:55:31 +08:00
没 salt 什么鬼?
killerv
2016-12-11 16:06:40 +08:00
@9hills
@ryd994 受教了,以前觉得 bcrypt 和 md5 的意义差别不大,完全没有考虑到性能,看来是有很大差别的。
yksoft1
2016-12-11 16:06:56 +08:00
@feikaras 其实我觉得在国内这个环境下 5 年前的系统都不会有太多人想到密码本身保存的安全性问题。。
Ziloon
2016-12-11 16:15:38 +08:00
泄漏个人隐私信息不是已经入刑了吗?
expooo
2016-12-11 16:48:39 +08:00
@0915240 好像是假的, 12G 不是 mp4 么。。。
谁放出来的假消息? 双 12 了,出了个 12g 裤子,也是醉了,不敢去京东买东西了
onice
2016-12-11 18:14:22 +08:00
@feikaras 一种对用户密码处理的方式。通过给原密码加上不规则的字符串进行散列处理防止攻击者使用彩虹表破解。具体可参考: http://www.server110.com/sec_news/201309/995.html
G4
2016-12-11 22:59:54 +08:00
@wzxjohn 新社区多少
yiciyuansky
2016-12-11 23:11:22 +08:00
改了京东还不行,还得改其他相同账号和密码的网站,防止撞库,都改一小天了,累的要命。安全问题真是不容忽视。
mingyun
2016-12-11 23:18:09 +08:00
@onice 赞一个
designer
2016-12-12 00:25:06 +08:00
身份证也泄漏了,这是大事感觉。不知道以后这种情况能索赔吗
trythebest
2016-12-12 02:22:58 +08:00
我在想 这样的话 可以起诉 jd 吗?以及别的像支付宝这样数据也泄露的事件,法律是否有相关规定?
zouqiang
2016-12-12 10:07:45 +08:00
lneoi
2016-12-12 11:05:15 +08:00
很早就传京东数据库出来了,很多完整的个人信息都被收集起来,不久之后还有新闻报道说账户问题、信息泄露投诉什么的。现在就算有下载,都已经是一些无用数据了。
freethink
2016-12-12 16:41:28 +08:00
京东那个新闻稿就是故意混淆数据泄漏时间、发现问题的时间、修复的时间。典型的公关文案,就是让你误认为当时就立刻修复了的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326773

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX