京东回应 12G 数据泄露： Struts2 的锅

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2888 天前的主题，其中的信息可能已经有所发展或是发生改变。

12 月 10 日晚间，京东被曝数据外泄。

据称，此次有一个 12G 的数据包外泄，数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度，数据多达数千万条。

京东在 12 月 11 日凌晨发表声明，称该数据源于 2013 年 Struts 2 的安全漏洞，已经完成修复。

京东在声明中表示，在 Struts 2 的安全问题发生后，京东迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级，但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。此外，京东还建议用户开启手机验证和支付密码，并将登录密码和支付密码设为高强度的复杂密码，提高账户安全等级。

http://www.jiemian.com/article/1008222.html

京东

密码

安全

Struts

80 条回复 • 2016-12-12 16:41:28 +08:00

416877140

2016-12-11 09:04:28 +08:00

看来是真的了啊......不知道是新数据还是老数据......

green15

2016-12-11 09:09:50 +08:00 via iPhone

这么详细，就算是老数据，结合前面那几家泄露，我能想到能做的东西真的很多……

pimin

2016-12-11 09:13:36 +08:00 via Android

就是老数据都吓人！
狗日的京东

uxstone

2016-12-11 09:13:46 +08:00

java 的新项目应该没有用 Struts2 的了吧?

0915240

2016-12-11 09:23:53 +08:00 via iPhone

卧槽是真的啊

d7101120120

2016-12-11 09:25:34 +08:00

这是已经在黑产圈子被玩烂了之后才被卖到外面的？细思恐极，还有多少数据是在黑产圈子里面流传外人还不知道的？

macroideal

2016-12-11 09:27:13 +08:00 via iPhone

草尼玛的实名制。
现在很容易就搞到别人所有信息了，别有用心者干坏事就更容易了

spwei

2016-12-11 09:28:09 +08:00

已经养成定期修改密码的习惯了

xzem

2016-12-11 09:31:39 +08:00

吓的我立即去把京东密码改了.

xzem

2016-12-11 09:32:33 +08:00

然而信息已经泄露, 等知道的时候改密码也没啥用了, 哎!

YvesX

2016-12-11 09:33:26 +08:00 via iPhone

厉害了，原来底裤早没了。

tracyone

2016-12-11 09:36:01 +08:00

是这个漏洞

http://struts.apache.org/docs/s2-016.html

id2

2016-12-11 09:36:10 +08:00

没有能力保护数据就别搞 tmd 实名制！

roadna

2016-12-11 09:40:39 +08:00 via Android

额，会收到短信提醒吗？还是 app 提醒？

yilin101

2016-12-11 09:49:11 +08:00 via iPhone

2013 年的漏洞当时就处理了？？还是到昨天才处理？？？
密码泄露的是 2013 年的还是泄露最近的最新数据？？？

KenGe

2016-12-11 09:50:15 +08:00

赶紧看 loc 的几个大神发的链接下载去了~

ixiaohei

2016-12-11 09:54:25 +08:00

好久没有用这个框架了

crab

2016-12-11 09:58:58 +08:00

@macroideal 某转运有个是身份证扫描提交的，都被 X 好久了。这些扫描可想。

kingcos

2016-12-11 10:00:50 +08:00

学校教 Struts2 还是不亦乐乎啊
还是用网上下载的 JAR 包。。也不用 Maven 或者 Gradle 。。。

@uxstone

muziki

2016-12-11 10:05:12 +08:00 via iPhone

实名制除了维稳还有啥用了，现在身份证号都没了，改别的账户信息不是轻而易举？

zjqzxc

2016-12-11 10:05:38 +08:00

2013 年的漏洞（信息泄露）现在被人曝光出来了才承认，这三年（没有被曝光的这段时间）间造成的损失狗东也就一概甩锅给用户了呗。
反正零星用户报告，完全可以说你的账号是被撞库了而不是我们被脱裤了。加上狗东没有明显的异常登录提醒，绝大多数未造成实际损失的用户可能根本意识不到自己被泄露了。

狗东的道德一定是被狗给吃了

des

2016-12-11 10:15:03 +08:00

@zjqzxc 根本没吐槽对方向。文中有说是 2013 年就开始泄露的吗？
也没有说京东 2013 年就知道了，说不定京东也是最近才知道的呢？要不然也不会现在才修复啊。

2013 年就爆出的漏洞，现在才修复，根本没把用户数据安全当回事。
> 这才是正确的吐槽

21grams

2016-12-11 10:20:50 +08:00

密码也泄露了？难道存的是明文？

fuxkcsdn

2016-12-11 10:21:15 +08:00 via iPhone

应该不至于是明文密码吧😳

9hills

2016-12-11 10:22:56 +08:00 via iPhone

说实话，不是很理解用 MD5 保存密码的，哪怕是加 salt

明明有很多专门设计用来保存密码的算法……

epicnoob

2016-12-11 10:32:30 +08:00

大一注册京东，一直没用；大三突然密码被改了，找回密码需要一个不认识的手机收验证码，投诉客服说这手机不是我的，没用；大四突然用原来的密码又能上了。肯定偷偷摸摸恢复了。

chanssl

2016-12-11 10:35:36 +08:00 via Android

@des 我对声明的理解是： 2013 年 Strust2 漏洞爆出后就被修复了。

srx1982

2016-12-11 10:36:41 +08:00

官方声明的官方页面在哪？？

chanssl

2016-12-11 10:37:05 +08:00 via Android

@21grams
@fuxkcsdn 看报道里的描述，应该是 MD5 ，不过好像没加盐🤕

Cavolo

2016-12-11 10:44:39 +08:00 via iPhone

13 年还没注册 jd 呢

loading

2016-12-11 10:44:48 +08:00 via Android

@9hills 只要 salt 够好，我觉得没问题。

这不是保存密码，只保存了密码验证信息和保存密码是两码事。

dd99iii

2016-12-11 10:47:45 +08:00

@srx1982 微博

srx1982

2016-12-11 10:59:27 +08:00

@dd99iii 微博时间线混乱，翻了几下才看到，谢谢

quericy

2016-12-11 11:08:14 +08:00

"京东在 12 月 11 日凌晨发表声明，称该数据源于 2013 年 Struts 2 的安全漏洞，已经完成修复。 "

是 13 年爆出漏洞后就修了,还是 11 号才修的?

killerv

2016-12-11 11:08:30 +08:00

@9hills md5 加 salt 没什么毛病，重点不在加密算法上而在于防止被脱裤

wuxiao2522

2016-12-11 11:10:36 +08:00

那么多白条被盗的，是不是也因为这个。不敢开白条，也没有实名制。京东貌似说京豆要实名制以后才能用了，没卵它。

crossoverJie

2016-12-11 11:13:35 +08:00

现在还有用 Struts2 的？

hanru

2016-12-11 11:31:37 +08:00 via Android

根据京东的回应和另一篇新闻总结一下：数据是真的；是 2013 年泄露的数据，不是新泄露； 3 年前，京东使用 MD5 “加密”用户密码，且没有 salt 。

razios

2016-12-11 11:49:43 +08:00

京东的安全性真的不太行,之前的账户被修改也有不少人,信用卡 cvv 乱输都能付款...想起来背后都发凉,京东搞金融还是缺乏安全感.

xcjzv

2016-12-11 12:00:10 +08:00 via iPhone

@KenGe 求链接

ps ： loc 是啥啊

KenGe

2016-12-11 12:00:58 +08:00

@xcjzv 冒失已经被百度云屏蔽了 hostloc

xcjzv

2016-12-11 12:01:08 +08:00 via iPhone

@KenGe loc 是啥啊

SilentDepth

2016-12-11 12:02:45 +08:00

@yilin101 @quericy
应该是 2013 年 Struts2 爆出漏洞的时候就修了，那之前泄露的数据。黑客拖完数据之后先自己利用一下，用得差不多了再放出来交易（也就是现在）

xcjzv

2016-12-11 12:03:07 +08:00 via iPhone

@KenGe 网络不好发重复了你转存了嘛？

xuan880

2016-12-11 12:03:11 +08:00

哪里可以查到自己的账号在不在这个数据库里面？

KenGe

2016-12-11 12:06:31 +08:00

@xcjzv 转存都被干掉了~直接净网了~

xcjzv

2016-12-11 12:10:58 +08:00 via iPhone

@KenGe hoc 那个假的 4 本电影

sxzyabcd

2016-12-11 12:11:59 +08:00

在百度云网盘上有关于京东的数据库下载，格式为 jd1~4.txt 。经过证实，这四个文件均为国产古装戏，并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈侠僧探案传奇之将军府侠僧探案传奇之催命符， jd4.txt 是陆小凤传奇之大金鹏王

wzxjohn

2016-12-11 12:13:25 +08:00

loc 的车是乌云新社区转的，假的，四部电视剧。

KenGe

2016-12-11 12:16:00 +08:00

@xcjzv 噗那百度直接封了？

radiolover

2016-12-11 12:18:33 +08:00

@d7101120120 公安户籍身份证数据库，电信公司实名信息。能混在黑产圈这种高利润的地方，哪个没有高层的背景？

xcjzv

2016-12-11 12:44:08 +08:00 via iPhone

@wzxjohn 求个乌云新社区网站

9hills

2016-12-11 13:18:58 +08:00 via iPhone

@loading
@killerv md5 性能太好了，是个问题。一旦 salt 以及对应的加 salt 方式泄漏就完了

有些替代算法故意降低性能，甚至可以自定义性能，避免彩虹表攻击。哪怕所有算法， salt 全部泄漏，也不怕

至于防止脱裤，这个是另外的事情，不冲突。

RqPS6rhmP3Nyn3Tm

2016-12-11 13:24:18 +08:00 via iPhone

人在国外，旧手机号停用，不让改密码和呵呵呵呵

CRH

2016-12-11 13:28:11 +08:00 via iPhone

@BXIA 登录 Web 版，有不需要手机的验证方式

yilin101

2016-12-11 13:47:46 +08:00

@SilentDepth 那没什么影响

ryd994

2016-12-11 13:51:15 +08:00

@9hills
你看，就是因为有“觉得没问题”的人，所以…………呵呵

@loading
@killerv
建议你们认真读一下这篇： https://crackstation.net/hashing-security.htm
如果还当自己是个工程师，而不仅仅是码农，那就要有作为工程师的自觉
“觉得没问题”在工程领域是不可接受的理由
如果你觉得没问题，证明它

我高中时第一次写站，虽然从来没发布过，但写到帐号处理的时候还是查了不少资料

RqPS6rhmP3Nyn3Tm

2016-12-11 13:58:51 +08:00 via iPhone

@CRH 我用的就是 web 端