联系我们
深圳市美奔科技有限公司
- 地址:深圳市南山区科苑路9号园西工业区23栋北602(深大A4出口)
- Email:winton@bqq8.com
- 邮编:518000
- 电话:15818558013
- 联系人:林先生
京东12GB用户数据泄漏 平台责任感遭质疑
近日,京东12GB用户数据泄漏的事情闹得沸沸扬扬。京东已经这件事做出了正面回应,称这是源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。并且还特别强调,京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。
京东声明中无道歉信息,招致用户不满
京东已经不是第一次被曝数据外泄。2015年,京东就被曝出大量用户隐私信息泄露,多名用户被骗走金钱,总共损失数百万元。一年后京东给出的调查结果是3名物流人员通过物流流程,掌握了用户姓名、电话、地址、何时下单、所购货物等信息。
就京东的对于此次用户数据泄露的声明似乎看不到道歉的信息,也没有给出任何解决方案,仅仅是提醒用户高度重视信息安全和隐私保护,此举招致了诸多用户的不满。在用户看来度,这是一种推卸责任的表现。有用户质疑,为何三年前的一个问题,三年后都没能得到有效解决?
如果京东的用户数据事件影响扩大,无疑对京东在大众心目中的品牌形象大打折扣,毕竟,信任感不是一朝一夕就能培养出来的。即使物流做的再完善,个人信息得不到有效保证,想必京东用户的留存能力方面也将面临巨大的考验。
2013年漏洞所致,为何不做彻底更改?
这件事发生之后,就有人深挖了京东的这次用户数据泄露事件,据资料来看,京东所指出的2013年Struts 2的安全漏洞问题是这次数据泄露的核心所在。专业人士表示,Struts是基于Java语言的一款开源框架,类似基于PHP语言的Yii和Laravel,攻击者可以利用该漏洞执行恶意java代码,最终导致网站数据被窃取、网页被篡改等严重后果,最终威胁到网站及网民的安全。当时的Struts2出现的高危漏洞波及范围很广,国内很多知名网站在内的大量网站都受到了影响。
根据业内人士的表示,类似Struts2在2013年出现的高危漏洞,若是框架自身安全性存在问题,系统就极容易被攻击,所以有财力、能力的人往往都自造框架。例如蚂蚁金服方面以及阿里巴巴就因为Struts框架本身存在安全漏洞,早就放弃了该技术。
京东也是当时Struts 2的安全漏洞问题的波及者之一,自然深知该技术的漏洞所在。但是,时隔三年之后,京东的用户数据遭泄露竟然还是因为这次事件,这就不免令人对京东的技术遭质疑了,京东为何还不做改进?
其实这个问题很简单,不放弃Struts2产品自然是因为Struts2有其自身优势所在。根据业人士表示,Struts2采用的是开源框架,开源框架优势就在于不仅出框架,还能给出这个框架的搭建方法以及源码。在此基础上,任何人都可以根据需要更改框架。正因如此,Struts2得到了程序员的青睐,因为程序员可以在最短的时间内利用这个开源框架,可大大提升工作效率。
企如果要放弃该技术重新更换框架自然是好使耗材耗力的一件事,但是如果是为了效率而放弃安全性,这就是平台自身的问题了。
各种金融类产品层出不穷,如何让用户放心使用?
目前的电商平台,大多数都针对购物开展了金融业务,例如蚂蚁花呗、京东白条等,这些业务大多是向消费者提供类似信用卡的服务,即平台给用户一定的额度,可进行分期购买商品,以达到刺激消费的作用。
正因如此,这些金融类账号与电商平台的普通购物账号有一定的关联性,而不法分子利用这个漏洞盗刷额度的事件在各个平台都有出现,而盗取预消费额度确实也能够达到与直接盗取钱财相同的效果。
网络上也经常会有这样的事件被曝出。例如前不久,温州一男子就遇到了京东白条被盗刷的事情。该男子称,捆绑京东账户的手机被停机保号,京东账号密码被重置,捆绑手机也被修改,有人盗刷他的京东白条额度购买了9553元的东西。
对于这次盗刷白条事件,该男子表示质疑,京东的重置密码服务中是否存在重大漏洞?但是在律师看来,这种情况要区别对待。如果是用户自己点了带有病毒的链接所致,责任自然由用户自己承担;但是如果用户并无操作不当,则是因为平台系统安全级别过低,没有达到行业标准,责任应当由平台承担。
无论是谁的责任,目前这种一号多关联的情况其实已经为用户的财产安全敲响了警钟,因为一旦某一个环节出问题,很可能就是牵一发而动全身的结果。
在互联网金融产品层出不穷的今天,平台承担着极为重要的责任,为了提升效率抢市场而忽视在技术层面的改进的做法终究是应该摒弃的。类似白条这种产品,本是利民的一件事,但金融类产品留住用户的核心支出是建立起平台与用户之间的信任感。如果因为其他问题影响了这种信任感,就得不偿失了。
附加新闻:
12月10日晚,网络曝出疑似大量京东用户数据外泄。对此,京东集团回应称初步判断该数据源于2013年Struts2的安全漏洞问题,当时已迅速完成修复。
此次网上曝光称,有12G的数据包外泄,包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度数据,数量多达数千万条。
京东集团在12月11日凌晨发表声明,称该数据源于2013年Struts2的安全漏洞,已经完成修复。在Struts2的安全问题发生后,京东迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级,但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
京东建议用户高度重视信息安全和隐私保护,在涉及财产的电商、支付系统中开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
据了解,Struts为广泛应用于互联网企业、金融机构等网站建设的开源项目,2013年漏洞被爆出后,该项目团队发布了更新版本解决上述问题。
上一主题: 腾讯AI Lab发布三大核心战略,与自然科研达成战略合作
下一主题: 全球超1.1亿人参与“双12”