崇左即嘉新能源有限公司

【全國】 集團(tuán)簡介 關(guān)注我們
幫學(xué)院 商標(biāo)分類表-2024尼斯分類 知識產(chǎn)權(quán)交易

快幫集團(tuán)

京東12GB用戶數(shù)據(jù)泄漏 平臺責(zé)任感遭質(zhì)疑

2020-03-18

近日,京東12GB用戶數(shù)據(jù)泄漏的事情鬧得沸沸揚(yáng)揚(yáng)。京東已經(jīng)這件事做出了正面回應(yīng),稱這是源于2013年Struts 2的安全漏洞問題,當(dāng)時(shí)國內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行、政府機(jī)構(gòu)都受到了影響,導(dǎo)致大量數(shù)據(jù)泄露。并且還特別強(qiáng)調(diào),京東在Struts 2的安全問題發(fā)生后,就迅速完成了系統(tǒng)修復(fù),同時(shí)針對可能存在信息安全風(fēng)險(xiǎn)的用戶進(jìn)行了安全升級提示,當(dāng)時(shí)受此影響的絕大部分用戶都對自己的賬號進(jìn)行了安全升級。


  京東聲明中無道歉信息,招致用戶不滿

  京東已經(jīng)不是第一次被曝?cái)?shù)據(jù)外泄。2015年,京東就被曝出大量用戶隱私信息泄露,多名用戶被騙走金錢,總共損失數(shù)百萬元。一年后京東給出的調(diào)查結(jié)果是3名物流人員通過物流流程,掌握了用戶姓名、電話、地址、何時(shí)下單、所購貨物等信息。

  就京東的對于此次用戶數(shù)據(jù)泄露的聲明似乎看不到道歉的信息,也沒有給出任何解決方案,僅僅是提醒用戶高度重視信息安全和隱私保護(hù),此舉招致了諸多用戶的不滿。在用戶看來度,這是一種推卸責(zé)任的表現(xiàn)。有用戶質(zhì)疑,為何三年前的一個(gè)問題,三年后都沒能得到有效解決?

  如果京東的用戶數(shù)據(jù)事件影響擴(kuò)大,無疑對京東在大眾心目中的品牌形象大打折扣,畢竟,信任感不是一朝一夕就能培養(yǎng)出來的。即使物流做的再完善,個(gè)人信息得不到有效保證,想必京東用戶的留存能力方面也將面臨巨大的考驗(yàn)。

  2013年漏洞所致,為何不做徹底更改?

  這件事發(fā)生之后,就有人深挖了京東的這次用戶數(shù)據(jù)泄露事件,據(jù)資料來看,京東所指出的2013年Struts 2的安全漏洞問題是這次數(shù)據(jù)泄露的核心所在。專業(yè)人士表示,Struts是基于Java語言的一款開源框架,類似基于PHP語言的Yii和Laravel,攻擊者可以利用該漏洞執(zhí)行惡意java代碼,最終導(dǎo)致網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴(yán)重后果,最終威脅到網(wǎng)站及網(wǎng)民的安全。當(dāng)時(shí)的Struts2出現(xiàn)的高危漏洞波及范圍很廣,國內(nèi)很多知名網(wǎng)站在內(nèi)的大量網(wǎng)站都受到了影響。

  根據(jù)業(yè)內(nèi)人士的表示,類似Struts2在2013年出現(xiàn)的高危漏洞,若是框架自身安全性存在問題,系統(tǒng)就極容易被攻擊,所以有財(cái)力、能力的人往往都自造框架。例如螞蟻金服方面以及阿里巴巴就因?yàn)镾truts框架本身存在安全漏洞,早就放棄了該技術(shù)。

  京東也是當(dāng)時(shí)Struts 2的安全漏洞問題的波及者之一,自然深知該技術(shù)的漏洞所在。但是,時(shí)隔三年之后,京東的用戶數(shù)據(jù)遭泄露竟然還是因?yàn)檫@次事件,這就不免令人對京東的技術(shù)遭質(zhì)疑了,京東為何還不做改進(jìn)?


  其實(shí)這個(gè)問題很簡單,不放棄Struts2產(chǎn)品自然是因?yàn)镾truts2有其自身優(yōu)勢所在。根據(jù)業(yè)人士表示,Struts2采用的是開源框架,開源框架優(yōu)勢就在于不僅出框架,還能給出這個(gè)框架的搭建方法以及源碼。在此基礎(chǔ)上,任何人都可以根據(jù)需要更改框架。正因如此,Struts2得到了程序員的青睞,因?yàn)槌绦騿T可以在最短的時(shí)間內(nèi)利用這個(gè)開源框架,可大大提升工作效率。

  企如果要放棄該技術(shù)重新更換框架自然是好使耗材耗力的一件事,但是如果是為了效率而放棄安全性,這就是平臺自身的問題了。

  各種金融類產(chǎn)品層出不窮,如何讓用戶放心使用?

  目前的電商平臺,大多數(shù)都針對購物開展了金融業(yè)務(wù),例如螞蟻花唄、京東白條等,這些業(yè)務(wù)大多是向消費(fèi)者提供類似信用卡的服務(wù),即平臺給用戶一定的額度,可進(jìn)行分期購買商品,以達(dá)到刺激消費(fèi)的作用。

  正因如此,這些金融類賬號與電商平臺的普通購物賬號有一定的關(guān)聯(lián)性,而不法分子利用這個(gè)漏洞盜刷額度的事件在各個(gè)平臺都有出現(xiàn),而盜取預(yù)消費(fèi)額度確實(shí)也能夠達(dá)到與直接盜取錢財(cái)相同的效果。

  網(wǎng)絡(luò)上也經(jīng)常會(huì)有這樣的事件被曝出。例如前不久,溫州一男子就遇到了京東白條被盜刷的事情。該男子稱,捆綁京東賬戶的手機(jī)被停機(jī)保號,京東賬號密碼被重置,捆綁手機(jī)也被修改,有人盜刷他的京東白條額度購買了9553元的東西。

  對于這次盜刷白條事件,該男子表示質(zhì)疑,京東的重置密碼服務(wù)中是否存在重大漏洞?但是在律師看來,這種情況要區(qū)別對待。如果是用戶自己點(diǎn)了帶有病毒的鏈接所致,責(zé)任自然由用戶自己承擔(dān);但是如果用戶并無操作不當(dāng),則是因?yàn)槠脚_系統(tǒng)安全級別過低,沒有達(dá)到行業(yè)標(biāo)準(zhǔn),責(zé)任應(yīng)當(dāng)由平臺承擔(dān)。

  無論是誰的責(zé)任,目前這種一號多關(guān)聯(lián)的情況其實(shí)已經(jīng)為用戶的財(cái)產(chǎn)安全敲響了警鐘,因?yàn)橐坏┠骋粋€(gè)環(huán)節(jié)出問題,很可能就是牽一發(fā)而動(dòng)全身的結(jié)果。

  在互聯(lián)網(wǎng)金融產(chǎn)品層出不窮的今天,平臺承擔(dān)著極為重要的責(zé)任,為了提升效率搶市場而忽視在技術(shù)層面的改進(jìn)的做法終究是應(yīng)該摒棄的。類似白條這種產(chǎn)品,本是利民的一件事,但金融類產(chǎn)品留住用戶的核心支出是建立起平臺與用戶之間的信任感。如果因?yàn)槠渌麊栴}影響了這種信任感,就得不償失了。



附加新聞:
 

   12月10日晚,網(wǎng)絡(luò)曝出疑似大量京東用戶數(shù)據(jù)外泄。對此,京東集團(tuán)回應(yīng)稱初步判斷該數(shù)據(jù)源于2013年Struts2的安全漏洞問題,當(dāng)時(shí)已迅速完成修復(fù)。

    此次網(wǎng)上曝光稱,有12G的數(shù)據(jù)包外泄,包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個(gè)維度數(shù)據(jù),數(shù)量多達(dá)數(shù)千萬條。

    京東集團(tuán)在12月11日凌晨發(fā)表聲明,稱該數(shù)據(jù)源于2013年Struts2的安全漏洞,已經(jīng)完成修復(fù)。在Struts2的安全問題發(fā)生后,京東迅速完成了系統(tǒng)修復(fù),同時(shí)針對可能存在信息安全風(fēng)險(xiǎn)的用戶進(jìn)行了安全升級提示,當(dāng)時(shí)受此影響的絕大部分用戶都對自己的賬號進(jìn)行了安全升級,但確實(shí)仍有極少部分用戶并未及時(shí)升級賬號安全,依然存在一定風(fēng)險(xiǎn)。

    京東建議用戶高度重視信息安全和隱私保護(hù),在涉及財(cái)產(chǎn)的電商、支付系統(tǒng)中開啟手機(jī)驗(yàn)證和支付密碼,并將登錄密碼和支付密碼設(shè)為高強(qiáng)度的復(fù)雜密碼,提高賬戶安全等級。

    據(jù)了解,Struts為廣泛應(yīng)用于互聯(lián)網(wǎng)企業(yè)、金融機(jī)構(gòu)等網(wǎng)站建設(shè)的開源項(xiàng)目,2013年漏洞被爆出后,該項(xiàng)目團(tuán)隊(duì)發(fā)布了更新版本解決上述問題。


文章內(nèi)容來源于網(wǎng)絡(luò),侵刪

常見問題

京公網(wǎng)安備 11010802036823號

   

京ICP備16051929號

   

增值電信業(yè)務(wù)許可證編號:京B2-20190686

   

專利代理機(jī)構(gòu)代碼:16087

   

人力資源服務(wù)許可證編號:1101082019043

   

代理記賬許可證書編號:DLJZ11010820210015

0
迁西县| 东阿县| 师宗县| 乐亭县| 黑水县| 平度市| 修武县| 茌平县| 阿巴嘎旗| 平和县| 府谷县| 张掖市| 嘉鱼县| 四子王旗| 会泽县| 南皮县| 沙坪坝区| 增城市| 临武县| 遂平县| 邳州市| 河西区| 宁阳县| 增城市| 顺昌县| 东辽县| 清河县| 新龙县| 新邵县| 闽侯县| 石景山区| 县级市| 大化| 桦川县| 梅河口市| 英超| 志丹县| 新建县| 无棣县| 江川县| 陕西省|