196
京东泄露50亿条个人信息,都是“试用员工”的错?
文/刘之璋
近期,公安部破获了一起盗卖公民信息的特大案件,50亿条公民信息遭到泄漏,而嫌疑犯被传是京东网络安全部员工,与黑客长期相互勾结。
据公安部披露,犯罪嫌疑人郑某鹏利用京东网络安全部员工这一身份,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息,包括在京东、QQ上的物流信息、交易信息、个人身份等等。
京东第一时间进行了回应,但回应中有两个特别有意思的点:
一是说“经了解,郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。”
二是表示“由于该员工入职时间不长且权限不高,因此这批泄露的信息是否包含京东相关信息还有待查证”,同时京东还称,此事被不少媒体恶意歪曲误读,京东将“对于故意混淆是非,炮制假新闻的行为,坚决追究其法律责任!”
姑且不说此事的是非,起码泄露用户信息的事情,京东已不是第一次发生。
2016年,京东商城3名员工越权登录公司数据库系统,非法获取京东商城客户个人信息9313条后出售给电话诈骗犯罪分子,导致大量京东客户遭遇诈骗。
2015年,网络版315曝光京东信息泄露,彼时,@公安部刑侦局微博发声提醒网友:由于警方收到各地群众举报,称在京东购物后很快接到所谓客服来电,称某种原因要退款给购物者,因为信息准确,很多购物者信以为真,按照假客服要求在指定网页输入个人信息,结果,银行账户被盗。
在多家媒体报道后,京东官方微博紧急发出声明,称发生用户信息泄漏导致诈骗频发的原因,是“部分保护用户信息安全意识较为薄弱的网站可能存在批量泄露用户信息的情况,被不法分子获取后,使用‘撞库’的方法在其它有交易属性的网站,尝试登陆并获取用户购买商品的信息,进而冒充客服人员实施诈骗。”
什么是撞库?撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
对此,有技术达人曾分析称,京东商城安全性一直是个很严重的问题,早在之前就被漏洞报告平台乌云WooYun.org爆出了各种问题,其安全漏洞的记录,是同类网站的4倍以上,而京东官方却无任何响应。
而在这些漏洞里面,简简单单的加以利用便能窃取到用户信息,技术达人还通过举例来说明:如通过京东购物车信息漏洞,任意网站都可以构造一个特殊的恶意页面提供给用户访问,一旦有用户访问了该页面,恶意页面就可以读取当前用户购物车中的具体用户信息。而技术达人通过图文分析,也大胆猜测,一些在黑市流传的京东数据源,亦有很大的可能性是来自京东内部员工所为。
记得在京东集团的2017开年大会上,刘强东表示京东要在2021年前,超越阿里,成为中国第一大B2C平台。 万丈高楼平地起,如果基本的用户信息安全都不能保障,又言及其他。不管怎样,50亿条个人信息泄露,京东负有不可推卸的责任。
最后更新:2017-10-08 01:28:57