返回目录:理财保险
今天京东又粗大事了!有媒体称,一个来自京东的12G数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、手机号以及身份证!
恩,身份证都跑出来了,这个数据量还挺全的
所以也引起一定程度的恐慌
然后京东今天凌晨就出来回应了▼
“经其信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,在Struts 2的安全问题发生后,迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户也对账号进行了安全升级。“但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。”
——用大白话翻一下:
“这是个三年前的漏洞啦,而且全行业都中枪,不是我京东一家拉!”
“你们密码组泄露啦,宝宝也做不了啥啊,总不能密码正确也登不了啊!”
“快!去!改!密!码!”
好吧,首先我们来了解下什么叫Struts 2?
这是一个开源的应用框架,作为网站开发的底层模板。因为开源,不仅是京东之类互联网厂商,政府银行也都用,特么个流行
那他有什么样的漏洞呢?
三年前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞,乌云则是直接把漏洞用代码写了出来。
实际上,这个问题并没有完全解决,今年4月,Apache Struts2再次公告,新版本 (官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。
“远程执行任意命令”,就相当于叫企业服务器干啥就干啥,这就包括“拖库”——
“拖库”就是把整个服务器数据包全部下载,包括用户的个人资料;
有了大量数据包,就开始“撞库”——
不同网站数据包交叉登录,反复验证
然后“洗库”——
一个完整、精确、简洁的12G就出来了……
所以事情出来之后,京东是这么整的——
京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。
另外,京东提到,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
所以京东用户你们快点去升级啊!
关于数据泄露,网站能做的事情貌似很少了( ╯□╰ )
不过这时候用户更关心自己能肿么办?
记得有一次白话君采访360董事长周鸿祎,他说过一句话:
“以前我们会不断提醒用户小心用户泄露,但现在大家考虑问题要在一个大前提下,就是你的信息很可能已经早被泄露”
所以泄露了,用户们还能做啥?
有几个常规tips还是需要注意 (敲黑板!!)
1.立刻改密码!不是一个,是全部!
2.定期改密码!不是一个,是全部!
3.不要用同一个密码!
当然大家也别慌,信息泄露,最有可能的后果是诈骗电话更多了,更“懂”你了
在账户上,因为大部分支付类电商现在都需要手机二次验证
即使修改手机,也要原手机确认
所以不用担心钱
大不了就是小额免密支付会有漏洞(⊙﹏⊙)
不过“小额”而论,目前黑客们还不care这块,毕竟经济层面犯罪成本就高了
但是如果你很不放心的话——
就关了“小额免密”吧……
作者:灰灰 莫斯莉安 编辑:曾曾