据说淘宝被脱裤了(Struts漏洞)

2013-07-22 12:21:59 +08:00
 caomu
via http://www.dzzq.com.cn/Famous/Article.aspx?ID=17054 (小心你的钱! 淘宝京东等厂商被曝脱库_大众证券网·理财e家)

Struts漏洞大家应该都了解过了,乌云上大量提交( /t/76104 /t/76133 )。然后目前是“据部分网友消息,淘宝已被黑客脱库,该消息未被淘宝官方证实”,有网友回报帐号被异地登录( http://twitter.com/zhuipili/status/359142184932483072 )。
7883 次点击
所在节点    分享发现
33 条回复
v8ex
2013-07-22 12:39:14 +08:00
只要没被脱"内裤“就好
wzxjohn
2013-07-22 12:40:12 +08:00
就目前所知应该是没有的。只是有分站被拖了。
zhttty
2013-07-22 12:41:01 +08:00
不觉得是真的,不过各大电商在裸奔倒是可以见得...
welsmann
2013-07-22 12:41:40 +08:00
呵呵,给他权限脱,有那么大地方放么,上PB级别
horx
2013-07-22 13:05:34 +08:00
@welsmann 可以脱部分库吧? 对于想脱的人,那么多商品信息有用么 ...

```
先爆个小道消息,据某地下黑客组织成员透露,Struts这个漏洞在12号就有人在批量利用了,在17号晚有人用这个漏洞拖了3亿的库,其中包括某国内数一数二的电商网站。当然我相信这仅仅是冰山一角。
```
参考这里:
http://taosay.net/?p=614
forghed
2013-07-22 13:14:27 +08:00
应该是真的吧,不少安全圈的人都转了 http://weibo.com/1584228641/A17qEjOE7
xspoco
2013-07-22 13:17:59 +08:00
擦…我是不是要去把我常用密码都去换掉…好麻烦…
lvye
2013-07-22 13:29:16 +08:00
首先,内网权限及其严格,光靠洞获取shell是不行的,拿数据还是需要很多工具支持的.
其次,如果像连接数据库大量读取数据的行为系统肯定会报警的.
最重要的是,数据肯定是不可逆的,不可能会被破解.
DearMark
2013-07-22 13:48:29 +08:00
淘宝网的ver,快出来涨姿势。
jedyu
2013-07-22 13:54:54 +08:00
taobao养着那么牛逼的安全团队,我是不信在外人搞定之前还不能防御好的。
mille
2013-07-22 14:00:03 +08:00
这事没传的那么邪乎,听我一句,都散了吧。。。
welsmann
2013-07-22 14:03:32 +08:00
支付宝这种核心数据的防护应该是银行级别的了吧,表示很淡定,围观事件发展
davepkxxx
2013-07-22 14:23:03 +08:00
淘宝的人不是早就发现这个漏洞了吗?
xdeng
2013-07-22 14:34:09 +08:00
京东不是 asp .net 的么
xdata
2013-07-22 14:38:45 +08:00
压力不大...
就算破了, 登录还要手机验证, 还得安装数字证书呢...
danzwl
2013-07-22 14:40:56 +08:00
反正我是不信 而且也没钱
panzhc
2013-07-22 15:45:00 +08:00
淘宝账号异地登录我和同事都出现过。
benyur
2013-07-22 15:46:42 +08:00
个人觉得脱库也不会泄漏密码,如果密码简单,架不住社工。
opennet
2013-07-22 15:52:51 +08:00
淘宝官方微博已经说明情况了,去看看吧。
EchoFUN
2013-07-22 16:04:21 +08:00
已辟谣。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/76573

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX