话说用户数据泄露已经不是什么新鲜事了,网易、腾讯、阿里都泄露过,前两年还有泄露的开房信息……还有好莱坞什么什么门,还有最近曝光的借贷宝10G压缩包的等等,本以为可以消停一段时间,然而现在,网上忽然又流传着京东12G的用户数据,账号密码身份信息等,那么,这到底是怎么一回事?京东12g数据下载是从哪里呢?
据了解,日前“一本财经”发布文章《京东数据疑似外泄:超过12个G,涉及数千万用户》,称最近黑市上有一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。黑市买卖双方表示这些数据来自京东。首先,我们先来了解一下“一本财经”什么人。是何方神圣?为什么要曝光此文章,从工信部查到网站的备案信息可以看到这里网站负责人姓名叫做“王奕”,备案主体企业名称叫做“北京止水科技有限公司”,备案号“京ICP备16043430号”。因为我网站主体备案号是“京ICP备16042939号”,我是在今年八月份才完成网站备案的。换言之,这个网站备案时间绝对是今年八月之后。可以看到这是一家去年注册的公司,从姓名来看,公司股东和主要成员应该是一个家族。 有网友猜测有可能是一家刚开始成立的小公司想借京东名气赚一波?或者是某个竞争对手想在双十二前打击京东一波?不过,实际情况到底是怎么样?也只有当事人才知道了。建议大家不要妄下定论。
而对于“一本财经”的文章,京东正紧急核实数据真伪之后。已得出初步结论。
京东是这样说的:“经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,已经完成修复,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”并且京东在回应中强烈建议用户高度重视信息安全和隐私保护。
以下是京东关于此次数据安全问题的声明:
昨日,有媒体报道《京东数据疑似外泄》,经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
据业内人士称,数据已被销售多次,“至少有上百个黑产者手里掌握了数据”。据一本财经报道,记者登陆之后,在京东上的订单、地址、交易等信息都一览无遗,甚至从数据库中搜索自己名字,发现信息也早已外泄。
然而,2015年京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万。彼时京东回应称“不会发生泄露用户信息的情况”,并解释称可能是某些网站泄露了隐私信息,不发分子利用“撞库”的手段获取了用户信息。大家可以发现这种问题年年有爆发,究其原因,还不是“用户的锅”。“用户密码过于简单,所以泄露了就泄露了。”——官方声明回应总会隐含这一层。“我们出内鬼啦,反正不关我的事。”“……请修改密码吧亲。”
说白了,个人还是认为京东的安全等级最差,因为并没有对一些敏感数据加密,比如你浏览的商品。至于表单数据是否加密还没去看,不过当初在校园网同网内我已经知道了很多人在买什么奇怪的东西了。所以不觉得惊讶。不过还是得去再改密码了。
接下来的是个人信息问题。什么网站都会有个人信息的存在,这些电商网尤其多而且私密。可是没办法啊,总有办法收集到你的,因为快递员要看啊,卖家要看啊(尤其是京东的第三方卖家),所以顺带记下来一笔也是容易啊。何况现在可以用社工库撞库的情况下,密码简单的会被直接登录进去,然后个人信息什么的直接“脱裤”。
所以还是人心最可怕。最后,派派网想说的是,建议大家为了保护自己的信息安全,可以通过以下方式来实现
第一级别:泛泛无所谓的网站,今天注册了,明天就忘了,后年捡起来输入密码还能用的这种,这种会设置为一级密码,一般这种网站都不要填写真实个人信息,随便写就得了。
第二级别:有点重要的网站或平台,比如QQ、京东、淘宝、微信、百度、360云盘的密码,这种密码经常用,但是如果全部设为同样的密码,是很容易被撞库的,所以建议每三四个平台设置一款密码,但总体上,可以设置为大致相同,但略有小差别的密码。
比如:XXXXXXXXX1,XXXXXXXXX2,XXXXXXXXX3
当然有精力全部设置为不同密码的更好,但本宝宝这种脑子不好使的,还是不给自己添乱了,要不老得用手机验证码找回密码。
第三级别:这是最高级别的密码,通常用来作为支付密码,比如各种银行账户,证券平台,支付宝之类的密码,要专门设置一款。
然后,就妥了。然后,建议大家每三个月更新一次密码,虽然看上去有点麻烦,但安全性显然是要更高的,不过我知道,大部分人是没这个心思的,因为——懒!不过,如果你不怕自己的信息泄露,懒也无所谓了。