这是一个创建于 3228 天前的主题,其中的信息可能已经有所发展或是发生改变。
12 月 10 日晚间,京东被曝数据外泄。
据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多数千万条。
京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。
京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
http://www.jiemian.com/article/1008222.html
据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、 QQ 号、电话号码、身份证等多个维度,数据多数千万条。
京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。
京东在声明中表示,在 Struts 2 的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。此外,京东还建议用户开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
http://www.jiemian.com/article/1008222.html
 | 1 416877140 2016-12-11 09:04:28 +08:00 看来是真的了啊......不知道是新数据还是老数据...... |
 | 2 green15 2016-12-11 09:09:50 +08:00 via iPhone 这么详细,就算是老数据,结合前面那几家泄露,我能想到能做的东西真的很多…… |
 | 3 pimin 2016-12-11 09:13:36 +08:00 via Android 就是老数据都吓人! 狗日的京东 |
 | 4 uxstone 2016-12-11 09:13:46 +08:00 java 的新项目应该没有用 Struts2 的了吧? |
 | 5 0915240 2016-12-11 09:23:53 +08:00 via iPhone 卧槽 是真的啊 |
 | 6 d7101120120 2016-12-11 09:25:34 +08:00 这是已经在黑产圈子被玩烂了之后才被卖到外面的?细思恐极,还有多少数据是在黑产圈子里面流传外人还不知道的? |
 | 7 macroideal 2016-12-11 09:27:13 +08:00 via iPhone 草尼玛的实名制。 现在很容易就搞到别所有信息了,别有用心者干坏事就更容易了 |
 | 8 spwei 2016-12-11 09:28:09 +08:00 已经养成定期修改密码的习惯了 |
 | 9 xzem 2016-12-11 09:31:39 +08:00 吓的我立即去把京东密码改了. |
| 10 xzem 2016-12-11 09:32:33 +08:00 然而信息已经泄露, 等知道的时候改密码也没啥用了, 哎! |
 | 11 YvesX 2016-12-11 09:33:26 +08:00 via iPhone 厉害了,原来底裤早没了。 |
 | 12 tracyone 2016-12-11 09:36:01 +08:00 |
 | 13 id2 2016-12-11 09:36:10 +08:00  6 没有能力保护数据就别搞 tmd 实名制! |
 | 14 roadna 2016-12-11 09:40:39 +08:00 via Android 额,会收到短信提醒吗?还是 app 提醒? |
 | 15 yilin101/a> 2016-12-11 09:49:11 +08:00 via iPhone 2013 年的漏洞 当时就处理了 ??还是到昨天才处理??? 密码泄露的是 2013 年的 还是泄露最近的最新数据??? |
 | 16 KenGe 2016-12-11 09:50:15 +08:00 赶紧看 loc 的几个大神发的链接 下载去了~ |
 | 17 ixiaohei 2016-12-11 09:54:25 +08:00 好久没有用这个框架了 |
 | 18 crab 2016-12-11 09:58:58 +08:00 1 @macroideal 某转运有个是身份证扫描提交的,都被 X 好久了。这些扫描可想。 |
 | 19 kingcos 2016-12-11 10:00:50 +08:00 |
 | 20 muziki 2016-12-11 10:05:12 +08:00 via iPhone 实名制除了维稳还有啥用了,现在身份证号都没了,改别的账户信息不是轻而易举? |
 | 21 zjqzxc 2016-12-11 10:05:38 +08:00 1 2013 年的漏洞(信息泄露)现在被人曝光出来了才承认,这三年(没有被曝光的这段时间)间造成的损失狗东也就一概甩锅给用户了呗。 反正零星用户报告,完全可以说你的账号是被撞库了而不是我们被脱裤了。加上狗东没有明显的异常登录提醒,绝大多数未造成实际损失的用户可能根本意识不到自己被泄露了。 狗东的道德一定是被狗给吃了 |
 | 22 des 2016-12-11 10:15:03 +08:00 @zjqzxc 根本没吐槽对方向。文中有说是 2013 年就开始泄露的吗? 也没有说京东 2013 年就知道了, 说不定京东也是最近才知道的呢?要不然也不会现在才修复啊。 2013 就爆出的漏洞,现在才修复,根本没把用户数据安全当回事。 > 这才是正确的吐槽 |
 | 23 21grams 2016-12-11 10:20:50 +08:00 密码也泄露了? 难道存的是明文? |
 | 24 fuxkcsdn 2016-12-11 10:21:15 +08:00 via iPhone 应该不至于是明文密码吧 |
 | 25 9hills 2016-12-11 10:22:56 +08:00 via iPhone 说实话,不是很理解用 MD5 保存密码的,哪怕是加 salt 明明有很多专门设计用来保存密码的算法…… |
 | 26 epicnoob 2016-12-11 10:32:30 +08:00 大一注册京东,一直没用;大三突然密码被改了,找回密码需要一个不认识的手机收验证码,投诉客服说这手机不是我的,没用;大四突然用原来的密码又能上了。肯定偷偷摸摸恢复了。 |
 | 28 srx1982 2016-12-11 10:36:41 +08:00 官方声明的官方页面在哪?? |
 | 30 13 年还没注册 jd 呢 |
 | 31 loading 2016-12-11 10:44:48 +08:00 via Android |
 | 34 quericy 2016-12-11 11:08:14 +08:00 "京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。 " 是 13 年爆出漏洞后就修了,还是 11 号才修的? |
 | 36 c0mmand 2016-12-11 11:10:36 +08:00 那么多白条被盗的,是不是也因为这个。不敢开白条,也没有实名制。京东貌似说京豆要实名制以后才能用了,没卵它。 |
 | 37 crossoverJie 2016-12-11 11:13:35 +08:00 现在还有用 Struts2 的? |
 | 38 hanru 2016-12-11 11:31:37 +08:00 via Android 根据京东的回应和另一篇新闻总结一下:数据是真的;是 2013 年泄露的数据,不是新泄露; 3 年前,京东使用 MD5 “加密”用户密码,且没有 salt 。 |
 | 39 razios 2016-12-11 11:49:43 +08:00 京东的安全性真的不太行,之前的账户被修改也有不少人,信用卡 cvv 乱输都能付款...想起来背后都发凉,京东搞金融还是缺乏安全感. |
 | 43 SilentDepth 2016-12-11 12:02:45 +08:00 |
 | 45 xuan880 2016-12-11 12:03:11 +08:00 哪里可以查到自己的账号在不在这个数据库里面? |
 | 48 sxzyabcd 2016-12-11 12:11:59 +08:00 在百度云网盘上有关于京东的数据库下载,格式为 jd1~4.txt 。经过证实,这四个文件均为国产古装戏,并不是泄露数据。 jd1~3.txt 是侠僧探案传奇之白马客栈 侠僧探案传奇之将军府 侠僧探案传奇之催命符, jd4.txt 是陆小凤传奇之大金鹏王 |
 | 49 wzxjohn 2016-12-11 12:13:25 +08:00 loc 的车是乌云新社区转的,假的,四部电视剧。 |
 | 51 radiolover 2016-12-11 12:18:33 +08:00 @d7101120120 公安户籍身份证数据库,电信公司实名信息。能混在黑产圈这种高利润的地方,哪个没有高层的背景? |
| 53 9hills 2016-12-11 13:18:58 +08:00 via iPhone |
 | 54 RqPS6rhmP3Nyn3Tm 2016-12-11 13:24:18 +08:00 via iPhone 人在国外,旧手机号停用,不让改密码和呵呵呵呵 |
| 56 yilin101 2016-12-11 13:47:46 +08:00 @SilentDepth 那没什么影响 |
 | 57 ryd994 2016-12-11 13:51:15 +08:00 @9hills 你看,就是因为有“觉得没问题”的人, 所以…………呵呵 @loading @killerv 建议你们认真读一下这篇: https://crackstation.net/hashing-security.htm 如果还当自己是个工程师,而不仅仅是码农,那就要有作为工程师的自觉 “觉得没问题”在工程领域是不可接受的理由 如果你觉得没问题,证明它 我高中时第一次写站,虽然从来没发布过,但写到帐号处理的时候还是查了不少资料 |
| 58 RqPS6rhmP3Nyn3Tm 2016-12-11 13:58:51 +08:00 via iPhone @CRH 我用的就是 web 端 |
 | 59 run2 2016-12-11 14:18:57 +08:00 进不去 web 的改密码页面-。- 根本不是 java 的锅,是他们自己对密码安全一点防范都没有 salt 没被盗的可能性不大-。- 现在就看是每人专有 salt 还是统一的 salt ? |
 | 60 sheldor 2016-12-11 14:33:54 +08:00 @id2 实名制难道不是人民政府强制要求的?不管实名不实名京东都一样卖东西,想想三大运营商 他们真的想实名制嘛,平白无故增加了多少成本 |
 | 61 mrlawrence 2016-12-11 14:39:58 +08:00 1 一想到我学信网资料都被脱裤了,京东这都不算什么。随他去吧,反正只是增加社工库规模而已。 裸奔多好,自由自在。 操蛋。 |
 | 62 realpg PRO |
 | 64 Showfom PRO 还好我京东的密码从来都是随机的 偷去也没用 又没绑定什么东西 |
| 66 9hills 2016-12-11 15:50:56 +08:00 via iPhone |
 | 67 feikaras 2016-12-11 15:55:31 +08:00 没 salt 什么鬼? |
 | 68 killerv 2016-12-11 16:06:40 +08:00 |
 | 70 Ziloon 2016-12-11 16:15:38 +08:00 via iPhone 泄漏个人隐私信息不是已经入刑了吗? |
 | 71 expooo 2016-12-11 16:48:39 +08:00 @0915240 好像是假的, 12G 不是 mp4 么。。。 谁放出来的假消息? 双 12 了,出了个 12g 裤子,也是醉了,不敢去京东买东西了 |
 | 72 onice 2016-12-11 18:14:22 +08:00 @feikaras 一种对用户密码处理的方式。通过给原密码加上不规则的字符串进行散列处理防止攻击者使用彩虹表破解。具体可参考: http://www.server110.com/sec_news/201309/995.html |
 | 74 yiciyuansky 2016-12-11 23:11:22 +08:00 via iPhone 改了京东还不行,还得改其他相同账号和密码的网站,防止撞库,都改一小天了,累的要命。安全问题真是不容忽视。 |
 | 76 designer 2016-12-12 00:25:06 +08:00 via iPhone 身份证也泄漏了,这是大事感觉。不知道以后这种情况能索赔吗 |
 | 77 trythebest 2016-12-12 02:22:58 +08:00 我在想 这样的话 可以起诉 jd 吗?以及别的像支付宝这样数据也泄露的事件,法律是否有相关规定? |
 | 78 zouqiang 2016-12-12 10:07:45 +08:00 |
 | 79 lneoi 2016-12-12 11:05:15 +08:00 很早就传京东数据库出来了,很多完整的个人信息都被收集起来,不久之后还有新闻报道说账户问题、信息泄露投诉什么的。现在就算有下载,都已经是一些无用数据了。 |
 | 80 freethink 2016-12-12 16:41:28 +08:00 via Android 京东那个新闻稿就是故意混淆数据泄漏时间、发现问题的时间、修复的时间。典型的公关文案,就是让你误认为当时就立刻修复了的。 |
Select Language