這個周末最熱的新聞事件之一，莫過于所謂某小學的霸凌事件以及后續(xù)的發(fā)酵。不過與此同時，一樁所謂「京東數(shù)據(jù)疑似外泄」的消息，也著實博得了很多關注。

沒辦法，誰讓咱們大家都是京東的客戶呢?

于是大伙兒紛紛登陸自己的京東賬號，一番查驗下來發(fā)現(xiàn)并無問題。至少到本文發(fā)布之際，尚無證據(jù)顯示由于本次的數(shù)據(jù)泄露而導致的財物損失。

那么我們再來回溯一下事件由來。

蠢萌的事件源頭

此前的消息稱，「一個12G的數(shù)據(jù)包開始流通，其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數(shù)據(jù)多達數(shù)千萬條」……

據(jù)說，買賣雙方均聲稱數(shù)據(jù)包來自京東。信息的一番流傳之后，數(shù)據(jù)包也身價倍增，價格被定為10萬-70萬之間不等。

第一時間查驗了自己的京東賬號無虞之后，第二時間我就聯(lián)系到安全圈內的某位牛人。(抱歉我還未能做到先人后己，以后努力，☹)

大咖表示，這個12G的數(shù)據(jù)包在圈里流傳一段時間了，其起源應該是2013年Struts 2漏洞事件——那應該幾乎可以算是互聯(lián)網(wǎng)領域最大的一次漏洞攻擊，國內幾乎所有的互聯(lián)網(wǎng)公司，以及大型銀行、政府機構都受到波及，企業(yè)的規(guī)模越大，影響的程度也可能更高。

Struts是Apache基金會的一個開源項目，廣泛應用于大型互聯(lián)網(wǎng)企業(yè)、政府、金融機構等網(wǎng)站建設，并作為網(wǎng)站開發(fā)的底層模板使用。

2013年，包括烏云平臺等在內的漏洞報告，Struts 2安全漏洞可以讓黑客可直接通過瀏覽器對服務器進行任意操作，并獲取敏感內容(譬如抓取用戶數(shù)據(jù)信息)。

結果呢也不知是怎么想的，蠢萌的Struts官方居然在自己的漏洞公告中直接把漏洞利用代碼給貼出來了。這樣做的結果是，大批沒有技術能力的外行，也可以借助傻瓜化的工具對專業(yè)網(wǎng)站進行數(shù)據(jù)的盜取。

此前多年里，安全圈默認的行規(guī)是「提示漏洞存在，但只公布描述，不公布細節(jié)」，就是害怕漏洞細節(jié)被黑客看到后，直接利用漏洞攻擊用戶，結果Struts官方一舉突破了行規(guī)底線，從而極大地放大了那次Struts 2事件的后果。

為啥京東成為背鍋俠?

該大咖認為，這個12G的數(shù)據(jù)包不能肯定是來自京東，但是也不能否認有這種可能。畢竟在2013年的那次漏洞事件中，不僅京東，國內的BAT等互聯(lián)網(wǎng)公司乃至銀行和政府機構，也同樣是受害者。

不過，將數(shù)據(jù)包打上「京東」的標簽，畢竟是個大大的加分項，因為京東客戶的價值確實超乎同行。試想一下，將這個數(shù)據(jù)包標記為其他公司的話，不光會貶值不少，甚至有賣不出去的可能。

大咖認為還會有這樣的可能，將一部分京東的陳舊數(shù)據(jù)，與其他來源的數(shù)據(jù)混在一起，這也是「數(shù)據(jù)黑道產(chǎn)業(yè)」的慣常做法，算是對其他數(shù)據(jù)的某種「增值」。

「當然不值那個價!」被問及該數(shù)據(jù)包值不值10萬時，大咖脫口而出。

在他看來，當年的Struts 2事件之后，包括京東在內的諸多公司和機構已經(jīng)采取了措施加以預防，譬如用戶再登陸會被提示更改密碼，否則不予以通行。

那些黏性高、活躍度高的老用戶，早在兩年前事發(fā)之初就修改了密碼。至于Struts 2事件之后的注冊用戶，他們根本不會遭遇到類似問題的襲擾。

遠離數(shù)據(jù)殘渣

那么，是不是說就不會有用戶受到影響呢?

其實也不是。大咖仍以京東為例，假如有用戶自兩年前Struts 2事發(fā)至今，從來沒有登錄過京東賬號，沒有進行密碼的修改，那么他的賬戶安全必然面臨威脅。

然而問題是，兩年從未登錄的賬戶能有多少?這樣的賬戶會有多少價值呢?我們不難判斷。

黑色產(chǎn)業(yè)中的數(shù)據(jù)銷售方，絕對不會將對他們仍然具有「剩余價值」的數(shù)據(jù)外銷，大咖告訴我們。

在數(shù)據(jù)外泄后，各種黑客會登錄賬戶將有價值的內容清洗一遍，這個過程短則幾個月，長的話可能超過一年以上。

接下來，黑客們會將從A網(wǎng)站得到的數(shù)據(jù)，用于登陸B(tài)網(wǎng)站，這也就是所謂的「撞庫」，通過一系列的技術手段和黑色產(chǎn)業(yè)鏈，將有價值的用戶數(shù)據(jù)變成現(xiàn)金或其他，以達到非法獲利的目的。

該大咖認為，2013年的Struts 2事件至今，歷時已三年有余，看來黑色產(chǎn)業(yè)已經(jīng)將那次的戰(zhàn)利品價值搜刮殆盡，現(xiàn)在到了讓數(shù)據(jù)殘渣變現(xiàn)的時候了。對那些意欲本次購買數(shù)據(jù)源的方面來說，拋去法律問題(注切不要以身試法)，這個時候接盤只能說是不智。

當年的Struts 2事件之后，微信公眾號《道哥的黑板報》就曾經(jīng)預言：「在接下來的一兩年中，大家又會多接到很多騷擾電話和騷擾短信，有針對性的詐騙案件也會上升?！?/p>

或許，現(xiàn)在就到了這樣一個時候。

胖頭陀的貼士

盡管我認為，此次的所謂數(shù)據(jù)外泄事件帶來的危險可能并不大，不過出于安全考慮，還是在這里小小貼士一下。

♡ 強烈建議在涉及到財產(chǎn)的電商、支付類系統(tǒng)中使用獨特的用戶名和密碼，避免被撞庫攻擊的風險;

♡ 不要把敏感信息如銀行卡、身份證等信息隨意暴露在網(wǎng)上，尤其是現(xiàn)在的社交網(wǎng)站，注意個人信息的安全。

♡ 注意保護個人電腦、手機等信息終端的信息安全，不要讓病毒入侵、植入木馬等。

♡ 注意甄別網(wǎng)絡安全，不要被各類虛假信息迷惑，進入釣魚網(wǎng)站;

♡ 對于打著電商客戶名義而來的電話、QQ應該格外小心，避免點擊通過即時通訊軟件發(fā)過來的所謂退貨、用戶中心網(wǎng)址。

京東的警示

針對本次的疑似數(shù)據(jù)外泄事件，京東方面也是高度重視，他們確認本次的數(shù)據(jù)源于2013年Struts 2的安全漏洞問題，并提醒用戶：

♢ 京東7x24小時全天候客服電話400-606-5500只用于接聽客戶來電，進行外呼業(yè)務時不會顯示400-606-5500、+400-606-5500、861400-606-5500、或手機號碼 ，更不會以QQ方式與用戶溝通;

♢ 京東工作人員從未引導消費者進行ATM轉賬;從未以消費者中獎為由，收取所謂的郵寄費、過關費等;從未以電話、咚咚、QQ等工具推銷過任何形式的打折卡、貴賓卡;也從未以訂單無效需為消費者退款為由主動索取消費者銀行卡信息。

♢ 如有任何組織或個人以京東名義通過電話 、咚咚、QQ等聊天工具向客戶收取前述費用或者推銷打折卡、貴賓卡的，或者使用各種即時通訊工具發(fā)送商品需重新支付或退款的鏈接的，均屬詐騙行為?？蛻羧粲龅筋愃魄闆r，可及時反饋京東客服人員;若因此遭受損失，京東建議客戶及時報警，并通知京東客戶服務人員。

♢ 京東將積極配合相關部門對此類行為進行調查處理，并盡一切努力，協(xié)助客戶維護合法權益，京東保留追究相關違 法人員法律責任的一切權利。

另外，京東特別提醒消費者，有關京東的客服電話，請以京東平臺網(wǎng)站公布的信息為準，謹防上當受騙。

【本文為51CTO專欄“胖頭陀”原創(chuàng)稿件，轉載請聯(lián)系原作者(微信號：it-observer)】