V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
depress
V2EX  ›  分享发现

京东回应 12G 数据泄露: Struts2 的锅

  •  1
     
  •   depress · 2016-12-11 08:52:07 +08:00 · 15186 次点击
    这是一个创建于 2664 天前的主题,其中的信息可能已经有所发展或是发生改变。
    12 月 10 日晚间,京东被曝数据外泄。

    据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多达数千万条。

    京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

    京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。

    http://www.jiemian.com/article/1008222.html
    80 条回复    2016-12-12 16:41:28 +08:00
    416877140
        1
    416877140  
       2016-12-11 09:04:28 +08:00
    看来是真的了啊......不知道是新数据还是老数据......
    green15
        2
    green15  
       2016-12-11 09:09:50 +08:00 via iPhone
    这么详细,就算是老数据,结合前面那几家泄露,我能想到能做的东西真的很多……
    pimin
        3
    pimin  
       2016-12-11 09:13:36 +08:00 via Android
    就是老数据都吓人!
    狗日的京东
    uxstone
        4
    uxstone  
       2016-12-11 09:13:46 +08:00
    java 的新项目应该没有用 Struts2 的了吧?
    0915240
        5
    0915240  
       2016-12-11 09:23:53 +08:00 via iPhone
    卧槽 是真的啊
    d7101120120
        6
    d7101120120  
       2016-12-11 09:25:34 +08:00
    这是已经在黑产圈子被玩烂了之后才被卖到外面的?细思恐极,还有多少数据是在黑产圈子里面流传外人还不知道的?
    macroideal
        7
    macroideal  
       2016-12-11 09:27:13 +08:00 via iPhone
    草尼玛的实名制。
    现在很容易就搞到别人所有信息了,别有用心者干坏事就更容易了
    spwei
        8
    spwei  
       2016-12-11 09:28:09 +08:00
    已经养成定期修改密码的习惯了
    xzem
        9
    xzem  
       2016-12-11 09:31:39 +08:00
    吓的我立即去把京东密码改了.
    xzem
        10
    xzem  
       2016-12-11 09:32:33 +08:00
    然而信息已经泄露, 等知道的时候改密码也没啥用了, 哎!
    YvesX
        11
    YvesX  
       2016-12-11 09:33:26 +08:00 via iPhone
    厉害了,原来底裤早没了。
    tracyone
        12
    tracyone  
       2016-12-11 09:36:01 +08:00
    id2
        13
    id2  
       2016-12-11 09:36:10 +08:00   ❤️ 6
    没有能力保护数据就别搞 tmd 实名制!
    roadna
        14
    roadna  
       2016-12-11 09:40:39 +08:00 via Android
    额,会收到短信提醒吗?还是 app 提醒?
    yilin101
        15
    yilin101  
       2016-12-11 09:49:11 +08:00 via iPhone
    2013 年的漏洞 当时就处理了 ??还是到昨天才处理???
    密码泄露的是 2013 年的 还是泄露最近的最新数据???
    KenGe
        16
    KenGe  
       2016-12-11 09:50:15 +08:00
    赶紧看 loc 的几个大神发的链接 下载去了~
    ixiaohei
        17
    ixiaohei  
       2016-12-11 09:54:25 +08:00
    好久没有用这个框架了
    crab
        18
    crab  
       2016-12-11 09:58:58 +08:00   ❤️ 1
    @macroideal 某转运有个是身份证扫描提交的,都被 X 好久了。这些扫描可想。
    kingcos
        19
    kingcos  
       2016-12-11 10:00:50 +08:00
    学校教 Struts2 还是不亦乐乎啊
    还是用网上下载的 JAR 包。。也不用 Maven 或者 Gradle 。。。

    @uxstone
    muziki
        20
    muziki  
       2016-12-11 10:05:12 +08:00 via iPhone
    实名制除了维稳还有啥用了,现在身份证号都没了,改别的账户信息不是轻而易举?
    zjqzxc
        21
    zjqzxc  
       2016-12-11 10:05:38 +08:00   ❤️ 1
    2013 年的漏洞(信息泄露)现在被人曝光出来了才承认,这三年(没有被曝光的这段时间)间造成的损失狗东也就一概甩锅给用户了呗。
    反正零星用户报告,完全可以说你的账号是被撞库了而不是我们被脱裤了。加上狗东没有明显的异常登录提醒,绝大多数未造成实际损失的用户可能根本意识不到自己被泄露了。

    狗东的道德一定是被狗给吃了
    des
        22
    des  
       2016-12-11 10:15:03 +08:00
    @zjqzxc 根本没吐槽对方向。文中有说是 2013 年就开始泄露的吗?
    也没有说京东 2013 年就知道了, 说不定京东也是最近才知道的呢?要不然也不会现在才修复啊。

    2013 年就爆出的漏洞,现在才修复,根本没把用户数据安全当回事。
    > 这才是正确的吐槽
    21grams
        23
    21grams  
       2016-12-11 10:20:50 +08:00
    密码也泄露了? 难道存的是明文?
    fuxkcsdn
        24
    fuxkcsdn  
       2016-12-11 10:21:15 +08:00 via iPhone
    应该不至于是明文密码吧😳
    9hills
        25
    9hills  
       2016-12-11 10:22:56 +08:00 via iPhone
    说实话,不是很理解用 MD5 保存密码的,哪怕是加 salt


    明明有很多专门设计用来保存密码的算法……
    epicnoob
        26
    epicnoob  
       2016-12-11 10:32:30 +08:00
    大一注册京东,一直没用;大三突然密码被改了,找回密码需要一个不认识的手机收验证码,投诉客服说这手机不是我的,没用;大四突然用原来的密码又能上了。肯定偷偷摸摸恢复了。
    chanssl
        27
    chanssl  
       2016-12-11 10:35:36 +08:00 via Android
    @des 我对声明的理解是: 2013 年 Strust2 漏洞爆出后就被修复了。
    srx1982
        28
    srx1982  
       2016-12-11 10:36:41 +08:00
    官方声明的官方页面在哪??
    chanssl
        29
    chanssl  
       2016-12-11 10:37:05 +08:00 via Android
    @21grams
    @fuxkcsdn 看报道里的描述,应该是 MD5 ,不过好像没加盐🤕
    Cavolo
        30
    Cavolo  
       2016-12-11 10:44:39 +08:00 via iPhone
    13 年还没注册 jd 呢
    loading
        31
    loading  
       2016-12-11 10:44:48 +08:00 via Android
    @9hills 只要 salt 够好,我觉得没问题。

    这不是保存密码,只保存了密码验证信息和保存密码是两码事。
    dd99iii
        32
    dd99iii  
       2016-12-11 10:47:45 +08:00   ❤️ 1
    @srx1982 微博
    srx1982
        33
    srx1982  
       2016-12-11 10:59:27 +08:00
    @dd99iii 微博时间线混乱,翻了几下才看到,谢谢
    quericy
        34
    quericy  
       2016-12-11 11:08:14 +08:00
    "京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。 "

    是 13 年爆出漏洞后就修了,还是 11 号才修的?
    killerv
        35
    killerv  
       2016-12-11 11:08:30 +08:00
    @9hills md5 加 salt 没什么毛病,重点不在加密算法上而在于防止被脱裤
    wuxiao2522
        36
    wuxiao2522  
       2016-12-11 11:10:36 +08:00
    那么多白条被盗的,是不是也因为这个。不敢开白条,也没有实名制。京东貌似说京豆要实名制以后才能用了,没卵它。
    crossoverJie
        37
    crossoverJie  
       2016-12-11 11:13:35 +08:00
    现在还有用 Struts2 的?
    hanru
        38
    hanru  
       2016-12-11 11:31:37 +08:00 via Android
    根据京东的回应和另一篇新闻总结一下:数据是真的;是 2013 年泄露的数据,不是新泄露; 3 年前,京东使用 MD5 “加密”用户密码,且没有 salt 。
    razios
        39
    razios  
       2016-12-11 11:49:43 +08:00
    京东的安全性真的不太行,之前的账户被修改也有不少人,信用卡 cvv 乱输都能付款...想起来背后都发凉,京东搞金融还是缺乏安全感.
    xcjzv
        40
    xcjzv  
       2016-12-11 12:00:10 +08:00 via iPhone
    @KenGe 求链接


    ps : loc 是啥啊
    KenGe
        41
    KenGe  
       2016-12-11 12:00:58 +08:00
    @xcjzv 冒失已经被百度云屏蔽了 hostloc
    xcjzv
        42
    xcjzv  
       2016-12-11 12:01:08 +08:00 via iPhone
    @KenGe loc 是啥啊
    SilentDepth
        43
    SilentDepth  
       2016-12-11 12:02:45 +08:00
    @yilin101 @quericy
    应该是 2013 年 Struts2 爆出漏洞的时候就修了,那之前泄露的数据。黑客拖完数据之后先自己利用一下,用得差不多了再放出来交易(也就是现在)
    xcjzv
        44
    xcjzv  
       2016-12-11 12:03:07 +08:00 via iPhone
    @KenGe 网络不好发重复了 你转存了嘛?
    xuan880
        45
    xuan880  
       2016-12-11 12:03:11 +08:00
    哪里可以查到自己的账号在不在这个数据库里面?
    KenGe
        46
    KenGe  
       2016-12-11 12:06:31 +08:00
    @xcjzv 转存都被干掉了~直接净网了~
    xcjzv
        47
    xcjzv  
       2016-12-11 12:10:58 +08:00 via iPhone
    @KenGe hoc 那个假的 4 本电影
    sxzyabcd
        48
    sxzyabcd  
       2016-12-11 12:11:59 +08:00
    在百度云网盘上有关于京东的数据库下载,格式为 jd1~4.txt 。经过证实,这四个文件均为国产古装戏,并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈 侠僧探案传奇之将军府 侠僧探案传奇之催命符, jd4.txt 是陆小凤传奇之大金鹏王
    wzxjohn
        49
    wzxjohn  
       2016-12-11 12:13:25 +08:00
    loc 的车是乌云新社区转的,假的,四部电视剧。
    KenGe
        50
    KenGe  
       2016-12-11 12:16:00 +08:00
    @xcjzv 噗 那百度直接封了?
    radiolover
        51
    radiolover  
       2016-12-11 12:18:33 +08:00
    @d7101120120 公安户籍身份证数据库,电信公司实名信息。能混在黑产圈这种高利润的地方,哪个没有高层的背景?
    xcjzv
        52
    xcjzv  
       2016-12-11 12:44:08 +08:00 via iPhone
    @wzxjohn 求个乌云新社区网站
    9hills
        53
    9hills  
       2016-12-11 13:18:58 +08:00 via iPhone
    @loading
    @killerv md5 性能太好了,是个问题。一旦 salt 以及对应的加 salt 方式泄漏就完了

    有些替代算法故意降低性能,甚至可以自定义性能,避免彩虹表攻击。哪怕所有算法, salt 全部泄漏,也不怕

    至于防止脱裤,这个是另外的事情,不冲突。
    RqPS6rhmP3Nyn3Tm
        54
    RqPS6rhmP3Nyn3Tm  
       2016-12-11 13:24:18 +08:00 via iPhone
    人在国外,旧手机号停用,不让改密码和呵呵呵呵
    CRH
        55
    CRH  
       2016-12-11 13:28:11 +08:00 via iPhone
    @BXIA 登录 Web 版,有不需要手机的验证方式
    yilin101
        56
    yilin101  
       2016-12-11 13:47:46 +08:00
    @SilentDepth 那没什么影响
    ryd994
        57
    ryd994  
       2016-12-11 13:51:15 +08:00
    @9hills
    你看,就是因为有“觉得没问题”的人, 所以…………呵呵

    @loading
    @killerv
    建议你们认真读一下这篇: https://crackstation.net/hashing-security.htm
    如果还当自己是个工程师,而不仅仅是码农,那就要有作为工程师的自觉
    “觉得没问题”在工程领域是不可接受的理由
    如果你觉得没问题,证明它

    我高中时第一次写站,虽然从来没发布过,但写到帐号处理的时候还是查了不少资料
    RqPS6rhmP3Nyn3Tm
        58
    RqPS6rhmP3Nyn3Tm  
       2016-12-11 13:58:51 +08:00 via iPhone
    @CRH 我用的就是 web 端
    sobigfish
        59
    sobigfish  
       2016-12-11 14:18:57 +08:00
    进不去 web 的改密码页面-。-

    根本不是 java 的锅,是他们自己对密码安全一点防范都没有 salt 没被盗的可能性不大-。-
    现在就看是每人专有 salt 还是统一的 salt ?
    sheldor
        60
    sheldor  
       2016-12-11 14:33:54 +08:00
    @id2 实名制难道不是人民政府强制要求的?不管实名不实名京东都一样卖东西,想想三大运营商 他们真的想实名制嘛,平白无故增加了多少成本
    mrlawrence
        61
    mrlawrence  
       2016-12-11 14:39:58 +08:00   ❤️ 1
    一想到我学信网资料都被脱裤了,京东这都不算什么。随他去吧,反正只是增加社工库规模而已。
    裸奔多好,自由自在。
    操蛋。
    realpg
        62
    realpg  
       2016-12-11 15:22:54 +08:00
    @d7101120120
    最近二手东的领券,大部分比较好的券要求账户银行卡四合一实名
    然后这些二手东的老数据就没啥用了……
    于是就流传到表层的黑产交易市场 然后大家就知道了
    chinafeng
        63
    chinafeng  
       2016-12-11 15:25:51 +08:00
    @wzxjohn 乌云新社区 ?
    Showfom
        64
    Showfom  
       2016-12-11 15:38:09 +08:00 via iPhone
    还好我京东的密码从来都是随机的 偷去也没用 又没绑定什么东西
    rosu
        65
    rosu  
       2016-12-11 15:42:01 +08:00 via Android
    @BXIA 要先用客户端实名认证之后才能改密码....
    9hills
        66
    9hills  
       2016-12-11 15:50:56 +08:00 via iPhone
    @sobigfish 如果是可变 salt ,比如以 uid 为 salt ,可能问题不是特别大。

    但是固定 salt 的话,彩虹表来一波……

    不过我看有人说貌似没有加 salt ,好顶赞
    feikaras
        67
    feikaras  
       2016-12-11 15:55:31 +08:00
    没 salt 什么鬼?
    killerv
        68
    killerv  
       2016-12-11 16:06:40 +08:00
    @9hills
    @ryd994 受教了,以前觉得 bcrypt 和 md5 的意义差别不大,完全没有考虑到性能,看来是有很大差别的。
    yksoft1
        69
    yksoft1  
       2016-12-11 16:06:56 +08:00
    @feikaras 其实我觉得在国内这个环境下 5 年前的系统都不会有太多人想到密码本身保存的安全性问题。。
    Ziloon
        70
    Ziloon  
       2016-12-11 16:15:38 +08:00 via iPhone
    泄漏个人隐私信息不是已经入刑了吗?
    expooo
        71
    expooo  
       2016-12-11 16:48:39 +08:00
    @0915240 好像是假的, 12G 不是 mp4 么。。。
    谁放出来的假消息? 双 12 了,出了个 12g 裤子,也是醉了,不敢去京东买东西了
    onice
        72
    onice  
       2016-12-11 18:14:22 +08:00
    @feikaras 一种对用户密码处理的方式。通过给原密码加上不规则的字符串进行散列处理防止攻击者使用彩虹表破解。具体可参考: http://www.server110.com/sec_news/201309/995.html
    G4
        73
    G4  
       2016-12-11 22:59:54 +08:00
    @wzxjohn 新社区多少
    yiciyuansky
        74
    yiciyuansky  
       2016-12-11 23:11:22 +08:00 via iPhone
    改了京东还不行,还得改其他相同账号和密码的网站,防止撞库,都改一小天了,累的要命。安全问题真是不容忽视。
    mingyun
        75
    mingyun  
       2016-12-11 23:18:09 +08:00
    @onice 赞一个
    designer
        76
    designer  
       2016-12-12 00:25:06 +08:00 via iPhone
    身份证也泄漏了,这是大事感觉。不知道以后这种情况能索赔吗
    trythebest
        77
    trythebest  
       2016-12-12 02:22:58 +08:00
    我在想 这样的话 可以起诉 jd 吗?以及别的像支付宝这样数据也泄露的事件,法律是否有相关规定?
    zouqiang
        78
    zouqiang  
       2016-12-12 10:07:45 +08:00
    lneoi
        79
    lneoi  
       2016-12-12 11:05:15 +08:00
    很早就传京东数据库出来了,很多完整的个人信息都被收集起来,不久之后还有新闻报道说账户问题、信息泄露投诉什么的。现在就算有下载,都已经是一些无用数据了。
    freethink
        80
    freethink  
       2016-12-12 16:41:28 +08:00 via Android
    京东那个新闻稿就是故意混淆数据泄漏时间、发现问题的时间、修复的时间。典型的公关文案,就是让你误认为当时就立刻修复了的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3351 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 13:41 · PVG 21:41 · LAX 06:41 · JFK 09:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.