京东数据泄露背后:信息黑色产业链环环相扣_文高推

内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

京东数据泄露背后:信息黑色产业链环环相扣

2016-12-21 16:41 出处:网络 人气: 评论(0



  

 

  京东方面就数据泄露事件接受《中国经营报》记者采访时表示,目前已经和警方进行了沟通。

  12月10日,网传疑似京东用户数据被明码标价售卖。12月11日,京东官方确认了数据泄露的真实性并表示此次数据泄露源于2013年Struts2的安全漏洞问题,已经完成了系统修复。

  据本报记者梳理了解,这并不是京东第一次出现数据泄露问题,而就整个信息数据黑色产业链来看,京东数据泄露也只是冰山一角。

  12月13日,本报记者在微博上以“开房数据查询”作为关键字进行查询,不少用户在微博上表示可以查询出入境、银行流水、手机定位等信息,并明确表明可查询的内容、所需要的时间等。

  据业内人士介绍,个人信息数据泄露渠道众多,而在互联网时代信息数据的价值越来越凸显,目前虽然有相关法律法规保障信息,但由于信息流通次数过大、立案调查成本过高,导致很难寻根溯源找到售卖数据的组织。

  京东数据泄露事件已与警方沟通

  12月10日,网传疑似京东12GB用户数据被明码标价售卖,被泄露的数据包括用户名、密码、邮箱、电话号码、身份证等多个维度,数据多达数千万条。在大量网友的质疑声中,12月11日,京东在其官方微信公众号“ 京东黑板报”上发布了题为《关于有媒体报道京东数据安全问题的声明》,确认了数据泄露的真实性。京东表示,经信息安全部门依据报道内容初步判断,此次数据泄露源于2013年Struts2的安全漏洞问题,已经完成了系统修复。同时针对可能存在信息安全风险的用户进行了安全升级提示。此外,京东还建议用户高度重视信息安全和隐私保护,运用高强度密码等提高账户安全等级。

  12月14日,京东公关部门在接受本报记者采访时表示,已经和警方沟通了这一事件,关于数据泄露事件以京东官方回复为准。

  据了解,出现安全漏洞的Struts2是一个Web框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。12月13日,武汉大学计算机学院教授陈晶对本报记者解释:“Struts来源于建筑和旧式飞机中使用的支持金属架。这个框架叫‘Struts’,是为了提醒我们记住那些支撑房屋、桥梁的基础支撑。这也是一个解释Struts在开发Web应用程序中所扮演角色的精彩描述,当建立一个物理建筑时,建筑工程师使用支柱为建筑的每一层提供支持。同样,软件工程师使用Struts为业务应用的每一层提供支持。它的目的是为了帮助我们减少在运用MVC(Model-View-Controller) 设计模型来开发Web应用的时间。”

  陈晶表示,Struts2是当前web开发广泛采用的开源架构,虽然比Struts安全,但仍存在各种安全漏洞。随着各种补丁的公布,当前安全性有所提高。但企业不能将所有的安全问题归结为Web开发框架的安全性问题,而应该综合采用如防火墙、入侵检测系统、加密存储等多种防护手段,保障用户的数据安全。

  值得注意的是,京东声明中提及的“2013年Struts 2的安全漏洞问题”指的是在2013年7月17日,Struts2曾出现的高危漏洞,攻击者可以利用该漏洞执行恶意Java代码,最终导致网站数据被窃取、网页被篡改等严重后果。

  互联网观察人士、河豚品牌创始人王鹏辉对本报记者表示,2013年的Struts2漏洞本身是一个很常规的安全漏洞,但由于当时Struts团队处理不当,直接对外公布了此漏洞,导致黑客很容易对采用Struts2技术的平台进行攻击,京东是事件中的受害者。据悉,Struts2事件影响力巨大,国内很多知名网站都受到此漏洞不同程度的影响,甚至商业银行和国家级的政府网站也未能幸免。

  数据泄露已是普遍现象

  记者梳理发现,这已不是京东第一次陷入数据泄露危机。2015年“3·15”前夕,京东被曝出大量用户隐私信息遭到泄露。直至2016年4月,这场数据泄露事件被查明:京东商城3名员工越权登录公司数据库系统,非法获取用户姓名、电话、地址、所购货物等信息,共达到9313条,而后3人将信息卖出,非法获利近4万元。

  12月13日,京东集团高级副总裁王振辉接受《中国经营报》记者采访时表示:“大家对信息安全重视的程度已经大大提升了,现在京东无论从组织上还是内部制度上都非常重视信息安全,因为平台中有上亿的消费者,信息安全保护是公司第一要务。”

  值得关注的是,当前数据泄露问题并不是个案,而是一个较为普遍的现象。2016年,数据泄露的安全事件数不胜数,时代华纳30万客户数据泄露、凯悦连锁酒店318家酒店客户信息被窃取、苹果App Store逾千应用存漏洞、信诚人寿信息安全曝漏洞、Verizon 150万客户记录遭泄露、学信网数据泄露……

  陈晶指出:“由于大多数用户都习惯于记住几个常用密码以登录不同的应用,所以泄露出去的密码所带来的影响绝不仅在京东这个应用中。”他表示,漏洞修补只能保证数据不会再通过该漏洞泄露出去,而数据一旦流进黑市,就很难避免重复买卖。“问题的关键还是在于企业应该加大安全投入,防止数据流出。”

  信息数据常被反复售卖

  随着互联网的普及,数据泄露已成为互联网安全的痛点。不可否认的是,个人信息的黑色产业链已经形成,其中存在数据提供方和数据中间商以及数据购买者三个环节,而且从木马制作、攻击渗透、个人信息的获取、信息交易等各个环节都有专门的人负责。

  12月13日,本报记者在微博上以“开房数据查询”作为关键字进行查询,结果不乏用户在微博上表示可以查询出入境、银行流水、手机定位等信息,并明确表明可查询的内容、所需要的时间等。据了解,个人信息主要有三个用途,第一个是用于推广,包括短信、EDM(电子邮箱营销)等推广方式,可以获得不菲的广告费;第二个是用于销售,数据买家掌握了精准的人群之后可以更好地进行推销,如买房的就推销装修、建材、家电等产品,买车的就推销维修保养、保险等服务;而最暴利的就是诈骗行为,由于数据买家清晰掌握个人信息,诈骗难度降到更低。

  “这些数据通常会被多次倒手,价格不一。”猎豹移动安全专家李铁军在12月13日对本报记者表示,“单次数据售卖的价格看起来并不高,大量的数据只需要几千元左右,但对于买家的潜在价值非常大。”

  李铁军指出:“京东三年前的系统漏洞导致的数据泄露到现在才被发现,是因为黑市的交易非常封闭,外人几乎无法知晓,通常是过了很长时间之后,数据才被流传到正常的交际圈中。正常的‘圈子’和黑市交易的‘圈子’之间会有很长时间的延迟。”

  多位业内人士对记者表示,由于个人信息常被反复售卖,并且买家之间的信息往往不共享,导致信息安全事件发生之后,立案调查成本高,也很难寻根溯源找到售卖数据的组织,由此导致通过法律手段进行制裁的难度加大。

  来源:中国经营报 陈冰洁

  延伸阅读

  近年来,随着互联网、大数据的爆发,数据安全已经成为时下人们最为关注的问题

  

 

  如果将2015年定义为“大数据元年”的话,那么2016年可谓是大数据产业真正爆发的一年。资料显示,2016年全球大数据市场规模将达453亿美元,相较于2015年同比增长17.97%。

  在这一年中,包括微软、亚马逊、谷歌在内的众多互联网巨头纷纷布局大数据领域,而我国也同样涌现了一批高成长的大数据企业。但如此辉煌的成绩背后,也有许多潜在的危机随之而来,并有愈演愈烈之势。在进入正题之前,先和读者分享两个小故事:

  第一个栗子

  2015年12月2日,位于美国加州的圣贝纳迪诺县发生了一起枪击案,造成多人死伤,警方在现场找到了一部凶手遗失的iPhone 5c手机,于是,案发不久,FBI带着搜查令找到了苹果公司,要求苹果提供关于这部手机的一切信息,但苹果方面却态度强硬地表示爱莫能助。自此,一件看似不太大的案件,却引起了一家巨头公司和FBI长达4个月的“撕逼”大战,在双方无法谈拢的情况下甚至不惜对簿公堂。

  

 

  纵观整次事件,苹果公司看上去就像是一个不愿配合警方工作的“傲娇”知情群众,明明是举手之劳的事,却抵死不从,甚至暗讽FBI的做法比黑客泄露明星裸照的行为还要恶劣。但深挖其背后的原因,苹果此举正是在极大限度地保护用户的隐私安全,因此整个事件爆发之后,包括Facebook、谷歌、twitter、WhatsApp、微软在内的众多科技圈大佬纷纷表态支持苹果。

  第二个栗子

  还是发生在美国,2016年上半年,微软因反对美国政府对用户电子邮件执行所谓的“秘密搜查令”,起诉了美国政府部门,一时间引起轩然大波。

  事情的起因是美国政府曾在过去的18个月时间内不间断地向微软公司提出“秘密”查询其用户数据的要求,并附加言论禁令,这一举动引起了微软公司的不满,并向西雅图联邦法院提出诉讼。2016年9月,包括苹果、谷歌、亚马逊在内的多家公司都正式宣布将支持微软到底,坚决保护用户数据隐私,此外,美国多家媒体也表示美国政府这一举措严重侵犯公民的言论自由权,也纷纷加入了声援微软的队伍中,组成了一只强大的“反对者联盟”。

  

 

  是什么让苹果和微软态度如此强硬地公然叫板政府?又因为什么令他们可以得到众多科技圈大佬、媒体,甚至是公民的支持?追根究底还是一个词——“用户隐私”。

  然而随着互联网、大数据的爆发,数据泄露事件频发,不断威胁“用户隐私”。

  据日前Gemalto曝出的数据显示:2016年上半年的数据泄露总数增长了15%。在全球范围内,2016年上半年已曝光的数据泄露事件高达974起,数据泄露记录总数超过了5.54亿条之多。

分享给小伙伴们:
本文标签:

相关文章

评论

发表评论愿您的每句评论,都能给大家的生活添色彩,带来共鸣,带来思索,带来快乐。

签名: 验证码: 点击我更换图片

评论列表

    Copyright © 2015-2021 DEDECMS. 织梦科技 版权所有,滇ICP备16000532号-2

    本网站内容部分来至互联网,如有侵权请联系站长删除