最近,黑市上出现重磅“炸弹”,一个 12G 的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。
12 月 10 日晚间,京东被曝数据外泄。
据称,此次有一个 12G 的数据包外泄,数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。
京东在 12 月 11 日凌晨发表声明,称该数据源于 2013 年 Struts 2 的安全漏洞,已经完成修复。
京东官方声明
泄露数据部分截图
数据分为几个维度:姓名、密码、邮箱、QQ、身份证、电话等
值得注意的是,这些数据的用户密码都进行过 MD5 加密,要通过专业破解软件,才能得到原密码。
业内人士称,一般 MD5 破解需要一定时间,但有些密码在数据库中已被其他人解密过,能瞬间破解,比如 123456;如果是一个新密码,破解时间就较长。可瞬间破解的账号,一般只占 3-5%。
记者尝试根据部分用户名和破解的密码登陆,确实大部分可登陆京东账户。
不法分子在盗取用户隐私信息后,通常会冒充平台客服人员,打电话给客户用各种理由劝其退货,以截取退货款,或者在退货后,诱导客户重新订货、输入支付密码付款。而泄露的数据一旦进入地下黑色产业链后,还有可能被多次贩卖。