首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

京东回应 12G 数据泄露: Struts2 的锅

  •  1
     
  •   depress · 2016-12-11 08:52:07 +08:00 · 12964 次点击
    这是一个创建于 1091 天前的主题,其中的信息可能已经有所发展或是发生改变。
    12 月 10 日晚间,京东被曝数据外泄。

    据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多达数千万条。

    京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

    京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

    http://www.jiemian.com/article/1008222.html
    80 回复  |  直到 2016-12-12 16:41:28 +08:00
        1
    416877140   2016-12-11 09:04:28 +08:00
    看来是真的了啊......不知道是新数据还是老数据......
        2
    green15   2016-12-11 09:09:50 +08:00 via iPhone
    这么详细,就算是老数据,结合前面那几家泄露,我能想到能做的东西真的很多……
        3
    pimin   2016-12-11 09:13:36 +08:00 via Android
    就是老数据都吓人!
    狗日的京东
        4
    uxstone   2016-12-11 09:13:46 +08:00
    java 的新项目应该没有用 Struts2 的了吧?
        5
    0915240   2016-12-11 09:23:53 +08:00 via iPhone
    卧槽 是真的啊
        6
    d7101120120   2016-12-11 09:25:34 +08:00
    这是已经在黑产圈子被玩烂了之后才被卖到外面的?细思恐极,还有多少数据是在黑产圈子里面流传外人还不知道的?
        7
    macroideal   2016-12-11 09:27:13 +08:00 via iPhone
    草尼玛的实名制。
    现在很容易就搞到别人所有信息了,别有用心者干坏事就更容易了
        8
    spwei   2016-12-11 09:28:09 +08:00
    已经养成定期修改密码的习惯了
        9
    xzem   2016-12-11 09:31:39 +08:00
    吓的我立即去把京东密码改了.
        10
    xzem   2016-12-11 09:32:33 +08:00
    然而信息已经泄露, 等知道的时候改密码也没啥用了, 哎!
        11
    YvesX   2016-12-11 09:33:26 +08:00 via iPhone
    厉害了,原来底裤早没了。
        12
    tracyone   2016-12-11 09:36:01 +08:00
        13
    id2   2016-12-11 09:36:10 +08:00   ♥ 6
    没有能力保护数据就别搞 tmd 实名制!
        14
    roadna   2016-12-11 09:40:39 +08:00 via Android
    额,会收到短信提醒吗?还是 app 提醒?
        15
    yilin101   2016-12-11 09:49:11 +08:00 via iPhone
    2013 年的漏洞 当时就处理了 ??还是到昨天才处理???
    密码泄露的是 2013 年的 还是泄露最近的最新数据???
        16
    KenGe   2016-12-11 09:50:15 +08:00
    赶紧看 loc 的几个大神发的链接 下载去了~
        17
    ixiaohei   2016-12-11 09:54:25 +08:00
    好久没有用这个框架了
        18
    crab   2016-12-11 09:58:58 +08:00   ♥ 1
    @macroideal 某转运有个是身份证扫描提交的,都被 X 好久了。这些扫描可想。
        19
    kingcos   2016-12-11 10:00:50 +08:00
    学校教 Struts2 还是不亦乐乎啊
    还是用网上下载的 JAR 包。。也不用 Maven 或者 Gradle 。。。

    @uxstone
        20
    muziki   2016-12-11 10:05:12 +08:00 via iPhone
    实名制除了维稳还有啥用了,现在身份证号都没了,改别的账户信息不是轻而易举?
        21
    zjqzxc   2016-12-11 10:05:38 +08:00   ♥ 1
    2013 年的漏洞(信息泄露)现在被人曝光出来了才承认,这三年(没有被曝光的这段时间)间造成的损失狗东也就一概甩锅给用户了呗。
    反正零星用户报告,完全可以说你的账号是被撞库了而不是我们被脱裤了。加上狗东没有明显的异常登录提醒,绝大多数未造成实际损失的用户可能根本意识不到自己被泄露了。

    狗东的道德一定是被狗给吃了
        22
    des   2016-12-11 10:15:03 +08:00
    @zjqzxc 根本没吐槽对方向。文中有说是 2013 年就开始泄露的吗?
    也没有说京东 2013 年就知道了, 说不定京东也是最近才知道的呢?要不然也不会现在才修复啊。

    2013 年就爆出的漏洞,现在才修复,根本没把用户数据安全当回事。
    > 这才是正确的吐槽
        23
    21grams   2016-12-11 10:20:50 +08:00
    密码也泄露了? 难道存的是明文?
        24
    fuxkcsdn   2016-12-11 10:21:15 +08:00 via iPhone
    应该不至于是明文密码吧😳
        25
    9hills   2016-12-11 10:22:56 +08:00 via iPhone
    说实话,不是很理解用 MD5 保存密码的,哪怕是加 salt


    明明有很多专门设计用来保存密码的算法……
        26
    epicnoob   2016-12-11 10:32:30 +08:00
    大一注册京东,一直没用;大三突然密码被改了,找回密码需要一个不认识的手机收验证码,投诉客服说这手机不是我的,没用;大四突然用原来的密码又能上了。肯定偷偷摸摸恢复了。
        27
    chanssl   2016-12-11 10:35:36 +08:00 via Android
    @des 我对声明的理解是: 2013 年 Strust2 漏洞爆出后就被修复了。
        28
    srx1982   2016-12-11 10:36:41 +08:00
    官方声明的官方页面在哪??
        29
    chanssl   2016-12-11 10:37:05 +08:00 via Android
    @21grams
    @fuxkcsdn 看报道里的描述,应该是 MD5 ,不过好像没加盐🤕
        30
    Cavolo   2016-12-11 10:44:39 +08:00 via iPhone
    13 年还没注册 jd 呢
        31
    loading   2016-12-11 10:44:48 +08:00 via Android
    @9hills 只要 salt 够好,我觉得没问题。

    这不是保存密码,只保存了密码验证信息和保存密码是两码事。
        32
    dd99iii   2016-12-11 10:47:45 +08:00   ♥ 1
    @srx1982 微博
        33
    srx1982   2016-12-11 10:59:27 +08:00
    @dd99iii 微博时间线混乱,翻了几下才看到,谢谢
        34
    quericy   2016-12-11 11:08:14 +08:00
    "京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。 "

    是 13 年爆出漏洞后就修了,还是 11 号才修的?
        35
    killerv   2016-12-11 11:08:30 +08:00
    @9hills md5 加 salt 没什么毛病,重点不在加密算法上而在于防止被脱裤
        36
    wuxiao2522   2016-12-11 11:10:36 +08:00
    那么多白条被盗的,是不是也因为这个。不敢开白条,也没有实名制。京东貌似说京豆要实名制以后才能用了,没卵它。
        37
    crossoverJie   2016-12-11 11:13:35 +08:00
    现在还有用 Struts2 的?
        38
    hanru   2016-12-11 11:31:37 +08:00 via Android
    根据京东的回应和另一篇新闻总结一下:数据是真的;是 2013 年泄露的数据,不是新泄露; 3 年前,京东使用 MD5 “加密”用户密码,且没有 salt 。
        39
    razios   2016-12-11 11:49:43 +08:00
    京东的安全性真的不太行,之前的账户被修改也有不少人,信用卡 cvv 乱输都能付款...想起来背后都发凉,京东搞金融还是缺乏安全感.
        40
    xcjzv   2016-12-11 12:00:10 +08:00 via iPhone
    @KenGe 求链接


    ps : loc 是啥啊
        41
    KenGe   2016-12-11 12:00:58 +08:00
    @xcjzv 冒失已经被百度云屏蔽了 hostloc
        42
    xcjzv   2016-12-11 12:01:08 +08:00 via iPhone
    @KenGe loc 是啥啊
        43
    SilentDepth   2016-12-11 12:02:45 +08:00
    @yilin101 @quericy
    应该是 2013 年 Struts2 爆出漏洞的时候就修了,那之前泄露的数据。黑客拖完数据之后先自己利用一下,用得差不多了再放出来交易(也就是现在)
        44
    xcjzv   2016-12-11 12:03:07 +08:00 via iPhone
    @KenGe 网络不好发重复了 你转存了嘛?
        45
    xuan880   2016-12-11 12:03:11 +08:00
    哪里可以查到自己的账号在不在这个数据库里面?
        46
    KenGe   2016-12-11 12:06:31 +08:00
    @xcjzv 转存都被干掉了~直接净网了~
        47
    xcjzv   2016-12-11 12:10:58 +08:00 via iPhone
    @KenGe hoc 那个假的 4 本电影
        48
    sxzyabcd   2016-12-11 12:11:59 +08:00
    在百度云网盘上有关于京东的数据库下载,格式为 jd1~4.txt 。经过证实,这四个文件均为国产古装戏,并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈 侠僧探案传奇之将军府 侠僧探案传奇之催命符, jd4.txt 是陆小凤传奇之大金鹏王
        49
    wzxjohn   2016-12-11 12:13:25 +08:00
    loc 的车是乌云新社区转的,假的,四部电视剧。
        50
    KenGe   2016-12-11 12:16:00 +08:00
    @xcjzv 噗 那百度直接封了?
        51
    radiolover   2016-12-11 12:18:33 +08:00
    @d7101120120 公安户籍身份证数据库,电信公司实名信息。能混在黑产圈这种高利润的地方,哪个没有高层的背景?
        52
    xcjzv   2016-12-11 12:44:08 +08:00 via iPhone
    @wzxjohn 求个乌云新社区网站
        53
    9hills   2016-12-11 13:18:58 +08:00 via iPhone
    @loading
    @killerv md5 性能太好了,是个问题。一旦 salt 以及对应的加 salt 方式泄漏就完了

    有些替代算法故意降低性能,甚至可以自定义性能,避免彩虹表攻击。哪怕所有算法, salt 全部泄漏,也不怕

    至于防止脱裤,这个是另外的事情,不冲突。
        54
    BXIA   2016-12-11 13:24:18 +08:00 via iPhone
    人在国外,旧手机号停用,不让改密码和呵呵呵呵
        55
    CRH   2016-12-11 13:28:11 +08:00 via iPhone
    @BXIA 登录 Web 版,有不需要手机的验证方式
        56
    yilin101   2016-12-11 13:47:46 +08:00
    @SilentDepth 那没什么影响
        57
    ryd994   2016-12-11 13:51:15 +08:00
    @9hills
    你看,就是因为有“觉得没问题”的人, 所以…………呵呵

    @loading
    @killerv
    建议你们认真读一下这篇: https://crackstation.net/hashing-security.htm
    如果还当自己是个工程师,而不仅仅是码农,那就要有作为工程师的自觉
    “觉得没问题”在工程领域是不可接受的理由
    如果你觉得没问题,证明它

    我高中时第一次写站,虽然从来没发布过,但写到帐号处理的时候还是查了不少资料
        58
    BXIA   2016-12-11 13:58:51 +08:00 via iPhone
    @CRH 我用的就是 web 端
        59
    sobigfish   2016-12-11 14:18:57 +08:00
    进不去 web 的改密码页面-。-

    根本不是 java 的锅,是他们自己对密码安全一点防范都没有 salt 没被盗的可能性不大-。-
    现在就看是每人专有 salt 还是统一的 salt ?
        60
    sheldor   2016-12-11 14:33:54 +08:00
    @id2 实名制难道不是人民政府强制要求的?不管实名不实名京东都一样卖东西,想想三大运营商 他们真的想实名制嘛,平白无故增加了多少成本
        61
    mrlawrence   2016-12-11 14:39:58 +08:00   ♥ 1
    一想到我学信网资料都被脱裤了,京东这都不算什么。随他去吧,反正只是增加社工库规模而已。
    裸奔多好,自由自在。
    操蛋。
        62
    realpg   2016-12-11 15:22:54 +08:00
    @d7101120120
    最近二手东的领券,大部分比较好的券要求账户银行卡四合一实名
    然后这些二手东的老数据就没啥用了……
    于是就流传到表层的黑产交易市场 然后大家就知道了
        63
    chinafeng   2016-12-11 15:25:51 +08:00
    @wzxjohn 乌云新社区 ?
        64
    Showfom   2016-12-11 15:38:09 +08:00 via iPhone
    还好我京东的密码从来都是随机的 偷去也没用 又没绑定什么东西
        65
    rosu   2016-12-11 15:42:01 +08:00 via Android
    @BXIA 要先用客户端实名认证之后才能改密码....
        66
    9hills   2016-12-11 15:50:56 +08:00 via iPhone
    @sobigfish 如果是可变 salt ,比如以 uid 为 salt ,可能问题不是特别大。

    但是固定 salt 的话,彩虹表来一波……

    不过我看有人说貌似没有加 salt ,好顶赞
        67
    feikaras   2016-12-11 15:55:31 +08:00
    没 salt 什么鬼?
        68
    killerv   2016-12-11 16:06:40 +08:00
    @9hills
    @ryd994 受教了,以前觉得 bcrypt 和 md5 的意义差别不大,完全没有考虑到性能,看来是有很大差别的。
        69
    yksoft1   2016-12-11 16:06:56 +08:00
    @feikaras 其实我觉得在国内这个环境下 5 年前的系统都不会有太多人想到密码本身保存的安全性问题。。
        70
    Ziloon   2016-12-11 16:15:38 +08:00 via iPhone
    泄漏个人隐私信息不是已经入刑了吗?
        71
    expooo   2016-12-11 16:48:39 +08:00
    @0915240 好像是假的, 12G 不是 mp4 么。。。
    谁放出来的假消息? 双 12 了,出了个 12g 裤子,也是醉了,不敢去京东买东西了
        72
    onice   2016-12-11 18:14:22 +08:00
    @feikaras 一种对用户密码处理的方式。通过给原密码加上不规则的字符串进行散列处理防止攻击者使用彩虹表破解。具体可参考: http://www.server110.com/sec_news/201309/995.html
        73
    G4   2016-12-11 22:59:54 +08:00
    @wzxjohn 新社区多少
        74
    yiciyuansky   2016-12-11 23:11:22 +08:00 via iPhone
    改了京东还不行,还得改其他相同账号和密码的网站,防止撞库,都改一小天了,累的要命。安全问题真是不容忽视。
        75
    mingyun   2016-12-11 23:18:09 +08:00
    @onice 赞一个
        76
    designer   2016-12-12 00:25:06 +08:00 via iPhone
    身份证也泄漏了,这是大事感觉。不知道以后这种情况能索赔吗
        77
    trythebest   2016-12-12 02:22:58 +08:00
    我在想 这样的话 可以起诉 jd 吗?以及别的像支付宝这样数据也泄露的事件,法律是否有相关规定?
        79
    lneoi   2016-12-12 11:05:15 +08:00
    很早就传京东数据库出来了,很多完整的个人信息都被收集起来,不久之后还有新闻报道说账户问题、信息泄露投诉什么的。现在就算有下载,都已经是一些无用数据了。
        80
    freethink   2016-12-12 16:41:28 +08:00 via Android
    京东那个新闻稿就是故意混淆数据泄漏时间、发现问题的时间、修复的时间。典型的公关文案,就是让你误认为当时就立刻修复了的。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2205 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 47ms · UTC 15:16 · PVG 23:16 · LAX 07:16 · JFK 10:16
    ♥ Do have faith in what you're doing.