京东称数据泄露源于 Struts 安全漏洞,已在 2013 年修复

局长
 局长
发布于 2016年12月11日
收藏 21

最近,黑市上出现重磅“炸弹”,一个 12G 的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。

12 月 10 日晚间,京东被曝数据外泄。

据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。

京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。

京东官方声明

泄露数据部分截图

数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等

值得注意的是,这些数据的用户密码都进行过 MD5 加密,要通过专业破解软件,才能得到原密码。

业内人士称,一般 MD5 破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如 123456;如果是一个新密码,破解时间就较长。可瞬间破解的账号,一般只占 3-5%。

记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。

不法分子在盗取用户隐私信息后,通常会冒充平台客服人员,打电话给客户用各种理由劝其退货,以截取退货款,或者在退货后,诱导客户重新订货、输入支付密码付款。而泄露的数据一旦进入地下黑色产业链后,还有可能被多次贩卖。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:京东称数据泄露源于 Struts 安全漏洞,已在 2013 年修复
加载中

精彩评论

_DeepBlue
_DeepBlue
1、导致数据泄露的原因不是我们自己,是由第三方开源软件导致
2、很多银行和政府也出现了同样的情况,我们有这种情况也是正常的
3、数据泄露后我们已经采取了措施,由其导致的用户的损失与我们无关
红薯
红薯
又是开源软件背锅
MGL_ONE
MGL_ONE
struts2 少说话多背锅
hiyou
hiyou
struts问题真多,连jd都出问题,以后不用struts了
士别三日
士别三日
1.这明显是京东的认证授权没做好啊,跟Struts有半毛钱关系!
2.数据被窃不光是密码的事,还有各种隐私数据。
3.还有这些敏感数据就只能在服务器之间流通,怎么可以传到客户端去。
京东的系统真的很傻逼脑残啊

最新评论(60

itheima
itheima
晨晨
嘿不溜秋
陈翰,陈翰
小帅帅丶
小帅帅丶
那别用任何一种开源编程语言。
hiyou
hiyou
struts问题真多,连jd都出问题,以后不用struts了
紫电清霜
紫电清霜

引用来自“eechen”的评论

Java安全就是个笑话!

大厂京东存储用户密码居然还是MD5?
怎么也得加盐哈希后加一层AES加密吧:

//保护用户密码的盐(用户注册或修改密码时生成)
$salt = sha1(uniqid($user_id.'_'.getmypid().'_'.mt_rand().'_', true));
$data = sha1($salt.sha1($pwd_user)); //$pwd_user是用户输入的密码

//AES加解密用到的密钥和向量
$key = 'oScGU3fj8m/tDCyvsbEhwI91M1FcwvQqWuFpPoDHlFk='; //echo base64_encode(openssl_random_pseudo_bytes(32));
$iv = 'w2wJCnctEG09danPPI7SxQ=='; //echo base64_encode(openssl_random_pseudo_bytes(16));
echo '内容: '.$data."\n";

$encrypted = openssl_encrypt($data, 'aes-256-cbc', base64_decode($key), OPENSSL_RAW_DATA, base64_decode($iv));
echo '加密: '.base64_encode($encrypted)."\n";

$encrypted = base64_decode('To3QFfvGJNm84KbKG1PLzA==');
$decrypted = openssl_decrypt($encrypted, 'aes-256-cbc', base64_decode($key), OPENSSL_RAW_DATA, base64_decode($iv));
echo '解密: '.$decrypted."\n"; //输出 phpbest

引用来自“zqq90”的评论

@eechen 建议删了这条评论, 有损你大神形象😓
😄 心平气和的一条中立评论,支持:)
q
quleap

引用来自“eechen”的评论

Java安全就是个笑话!

大厂京东存储用户密码居然还是MD5?
怎么也得加盐哈希后加一层AES加密吧:

//保护用户密码的盐(用户注册或修改密码时生成)
$salt = sha1(uniqid($user_id.'_'.getmypid().'_'.mt_rand().'_', true));
$data = sha1($salt.sha1($pwd_user)); //$pwd_user是用户输入的密码

//AES加解密用到的密钥和向量
$key = 'oScGU3fj8m/tDCyvsbEhwI91M1FcwvQqWuFpPoDHlFk='; //echo base64_encode(openssl_random_pseudo_bytes(32));
$iv = 'w2wJCnctEG09danPPI7SxQ=='; //echo base64_encode(openssl_random_pseudo_bytes(16));
echo '内容: '.$data."\n";

$encrypted = openssl_encrypt($data, 'aes-256-cbc', base64_decode($key), OPENSSL_RAW_DATA, base64_decode($iv));
echo '加密: '.base64_encode($encrypted)."\n";

$encrypted = base64_decode('To3QFfvGJNm84KbKG1PLzA==');
$decrypted = openssl_decrypt($encrypted, 'aes-256-cbc', base64_decode($key), OPENSSL_RAW_DATA, base64_decode($iv));
echo '解密: '.$decrypted."\n"; //输出 phpbest

引用来自“zqq90”的评论

@eechen 建议删了这条评论, 有损你大神形象😓
同上,哈哈
世界第一diao丝程序员
世界第一diao丝程序员
我的有没有被盗?实在不行我自己加密下,你帮我存起来@京东
thebestisclojure
thebestisclojure
京东许多年仍不用https,导致渣ISP注入泛滥,插IFRAME广告,JS脚本注入。。。
江水滔滔
江水滔滔
开源软件实力背过
返回顶部
顶部