196
京東網上商城
京東泄露50億條個人信息,都是“試用員工”的錯?
文/劉之璋
近期,公安部破獲了一起盜賣公民信息的特大案件,50億條公民信息遭到泄漏,而嫌疑犯被傳是京東網絡安全部員工,與黑客長期相互勾結。
據公安部披露,犯罪嫌疑人鄭某鵬利用京東網絡安全部員工這一身份,長期監守自盜,與黑客相互勾結,為黑客攻入網站提供重要信息,包括在京東、QQ上的物流信息、交易信息、個人身份等等。
京東第一時間進行了回應,但回應中有兩個特別有意思的點:
一是說“經了解,鄭某鵬在加入京東之前曾在國內多家知名互聯網公司工作,其長期與盜賣個人信息的犯罪團隊合作,將從所供職公司盜取的個人信息數據進行交換,並通過各種方式在互聯網上販賣。”
二是表示“由於該員工入職時間不長且權限不高,因此這批泄露的信息是否包含京東相關信息還有待查證”,同時京東還稱,此事被不少媒體惡意歪曲誤讀,京東將“對於故意混淆是非,炮製假新聞的行為,堅決追究其法律責任!”
姑且不說此事的是非,起碼泄露用戶信息的事情,京東已不是第一次發生。
2016年,京東商城3名員工越權登錄公司數據庫係統,非法獲取京東商城客戶個人信息9313條後出售給電話詐騙犯罪分子,導致大量京東客戶遭遇詐騙。
2015年,網絡版315曝光京東信息泄露,彼時,@公安部刑偵局微博發聲提醒網友:由於警方收到各地群眾舉報,稱在京東購物後很快接到所謂客服來電,稱某種原因要退款給購物者,因為信息準確,很多購物者信以為真,按照假客服要求在指定網頁輸入個人信息,結果,銀行賬戶被盜。
在多家媒體報道後,京東官方微博緊急發出聲明,稱發生用戶信息泄漏導致詐騙頻發的原因,是“部分保護用戶信息安全意識較為薄弱的網站可能存在批量泄露用戶信息的情況,被不法分子獲取後,使用‘撞庫’的方法在其它有交易屬性的網站,嚐試登陸並獲取用戶購買商品的信息,進而冒充客服人員實施詐騙。”
什麼是撞庫?撞庫是黑客通過收集互聯網已泄露的用戶和密碼信息,生成對應的字典表,嚐試批量登陸其他網站後,得到一係列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A網站的賬戶從而嚐試登錄B網址,這就可以理解為撞庫攻擊。
對此,有技術達人曾分析稱,京東商城安全性一直是個很嚴重的問題,早在之前就被漏洞報告平台烏雲WooYun.org爆出了各種問題,其安全漏洞的記錄,是同類網站的4倍以上,而京東官方卻無任何響應。
而在這些漏洞裏麵,簡簡單單的加以利用便能竊取到用戶信息,技術達人還通過舉例來說明:如通過京東購物車信息漏洞,任意網站都可以構造一個特殊的惡意頁麵提供給用戶訪問,一旦有用戶訪問了該頁麵,惡意頁麵就可以讀取當前用戶購物車中的具體用戶信息。而技術達人通過圖文分析,也大膽猜測,一些在黑市流傳的京東數據源,亦有很大的可能性是來自京東內部員工所為。
記得在京東集團的2017開年大會上,劉強東表示京東要在2021年前,超越阿裏,成為中國第一大B2C平台。 萬丈高樓平地起,如果基本的用戶信息安全都不能保障,又言及其他。不管怎樣,50億條個人信息泄露,京東負有不可推卸的責任。
最後更新:2017-10-08 01:28:57