京东回应 12G 数据泄露： Struts2 的锅

2016-12-11 08:52:07 +08:00

depress

12 月 10 日晚间，京东被曝数据外泄。

据称，此次有一个 12G 的数据包外泄，数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度，数据多达数千万条。

京东在 12 月 11 日凌晨发表声明，称该数据源于 2013 年 Struts 2 的安全漏洞，已经完成修复。

京东在声明中表示，在 Struts 2 的安全问题发生后，京东迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级，但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。此外，京东还建议用户开启手机验证和支付密码，并将登录密码和支付密码设为高强度的复杂密码，提高账户安全等级。

http://www.jiemian.com/article/1008222.html

15285 次点击

所在节点

分享发现

80 条回复

KenGe

2016-12-11 12:00:58 +08:00

@xcjzv 冒失已经被百度云屏蔽了 hostloc

xcjzv

2016-12-11 12:01:08 +08:00

@KenGe loc 是啥啊

SilentDepth

2016-12-11 12:02:45 +08:00

@yilin101 @quericy
应该是 2013 年 Struts2 爆出漏洞的时候就修了，那之前泄露的数据。黑客拖完数据之后先自己利用一下，用得差不多了再放出来交易（也就是现在）

xcjzv

2016-12-11 12:03:07 +08:00

@KenGe 网络不好发重复了你转存了嘛？

xuan880

2016-12-11 12:03:11 +08:00

哪里可以查到自己的账号在不在这个数据库里面？

KenGe

2016-12-11 12:06:31 +08:00

@xcjzv 转存都被干掉了~直接净网了~

xcjzv

2016-12-11 12:10:58 +08:00

@KenGe hoc 那个假的 4 本电影

sxzyabcd

2016-12-11 12:11:59 +08:00

在百度云网盘上有关于京东的数据库下载，格式为 jd1~4.txt 。经过证实，这四个文件均为国产古装戏，并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈侠僧探案传奇之将军府侠僧探案传奇之催命符， jd4.txt 是陆小凤传奇之大金鹏王

wzxjohn

2016-12-11 12:13:25 +08:00

loc 的车是乌云新社区转的，假的，四部电视剧。

KenGe

2016-12-11 12:16:00 +08:00

@xcjzv 噗那百度直接封了？

radiolover

2016-12-11 12:18:33 +08:00

@d7101120120 公安户籍身份证数据库，电信公司实名信息。能混在黑产圈这种高利润的地方，哪个没有高层的背景？

xcjzv

2016-12-11 12:44:08 +08:00

@wzxjohn 求个乌云新社区网站

9hills

2016-12-11 13:18:58 +08:00

@loading
@killerv md5 性能太好了，是个问题。一旦 salt 以及对应的加 salt 方式泄漏就完了

有些替代算法故意降低性能，甚至可以自定义性能，避免彩虹表攻击。哪怕所有算法， salt 全部泄漏，也不怕

至于防止脱裤，这个是另外的事情，不冲突。

RqPS6rhmP3Nyn3Tm

2016-12-11 13:24:18 +08:00

人在国外，旧手机号停用，不让改密码和呵呵呵呵

CRH

2016-12-11 13:28:11 +08:00

@BXIA 登录 Web 版，有不需要手机的验证方式

yilin101

2016-12-11 13:47:46 +08:00

@SilentDepth 那没什么影响

ryd994

2016-12-11 13:51:15 +08:00

@9hills
你看，就是因为有“觉得没问题”的人，所以…………呵呵

@loading
@killerv
建议你们认真读一下这篇： https://crackstation.net/hashing-security.htm
如果还当自己是个工程师，而不仅仅是码农，那就要有作为工程师的自觉
“觉得没问题”在工程领域是不可接受的理由
如果你觉得没问题，证明它

我高中时第一次写站，虽然从来没发布过，但写到帐号处理的时候还是查了不少资料

RqPS6rhmP3Nyn3Tm

2016-12-11 13:58:51 +08:00

@CRH 我用的就是 web 端

sobigfish

2016-12-11 14:18:57 +08:00

进不去 web 的改密码页面-。-

根本不是 java 的锅，是他们自己对密码安全一点防范都没有 salt 没被盗的可能性不大-。-
现在就看是每人专有 salt 还是统一的 salt ？

sheldor

2016-12-11 14:33:54 +08:00

@id2 实名制难道不是人民政府强制要求的？不管实名不实名京东都一样卖东西，想想三大运营商他们真的想实名制嘛，平白无故增加了多少成本

第 3 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326773

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.