数据之痛 ， 已让所有人感同身受 。然而 ， 这个问题 ， 却不是做好安全工作就能解决的 。除了技术 ， 还得防住人性的贪婪 。
最近 ， 黑市上出现重磅“炸弹” ， 一个12G的数据包开始流通 ， 其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度 ， 数据多达数千万条 。
而黑市买卖双方皆称 ， “这些数据来自京东 。”

文章插图
01、数据之迷
最近 ， 因为这12G的数据包 ， 黑产再次被搅动 。
一些地下渠道 ， 开始对数据进行明码标价交易 ， 价格从“10万到70万”不等 。
▲ 外泄数据部分截图
▲ 数据分为几个维度：姓名、密码、邮箱、QQ、身份证、电话等
据业内人士称 ， 数据已被销售多次 ， “至少有上百个黑产者手里掌握了数据” 。
“数据外泄的时间已比较长了 ， 至于为何现在又流通 ， 原因未明 ， ”业内人士透露 ， 暂且很难确认是“内鬼”还是“黑客盗取” 。
业内人士称 ， 大部分数据外泄后 ， 黑客会先进行洗库 ， 登录账户将有价值的内容清洗一遍 ， 比如登录游戏账户 ， 将虚拟币转走 。一般这个清洗过程 ， 需要几个月甚至更长时间 。
第二次“洗库” ， 才会将数据出售 ， “数据价值榨取殆尽了 ， 再给市面上的人来分渣” 。
值得注意的是 ， 这些数据的用户密码都进行过MD5加密 ， 要通过专业破解软件 ， 才能得到原密码 。
业内人士称 ， 一般MD5破解需要一定时间 ， 但有些密码在数据库中已被其他人解密过 ， 能瞬间破解 ， 比如123456;如果是一个新密码 ， 破解时间就较长 。
可瞬间破解的账号 ， 一般只占3-5% 。
采访人员尝试根据部分用户名和破解的密码登陆 ， 确实大部分可登陆京东账户 。
▲ 姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)
登陆之后 ， 用户在京东上的订单、地址、交易等信息都一览无遗 。甚至采访人员从数据库中搜索自己名字 ， 发现信息也早已外泄 。
“黑客拿到这些数据 ， 还可进行撞库操作” ， 业内人士称 。所谓“撞库” ， 是一个黑产的专业术语 ， 即黑客会通过已泄露的用户名和密码 ， 尝试批量登录其他网站 ， 获取数据 。
这就是人类设计密码的缺陷 ， 大部分人为了记得住 ， 都会用同一个用户名和密码 ， 导致撞库成功率极高 。
伤害值最高最直接的 ， 就是撞进一些金融账户 ， 直接将资金转走 。
今日 ， 京东就此事发出声明称(文末附声明全文) ， 这些数据源于2013年Struts 2的安全漏洞问题 ， 导致大量数据泄露 。
京东称 ， 在Struts 2的安全问题发生后 ， 就完成了系统修复 ， 同时针对可能存在信息安全风险的用户进行了安全升级提示 ， 当时受此影响的绝大部分用户都对自己的账号进行了安全升级 。但确实仍有极少部分用户并未及时升级账号安全 ， 依然存在一定风险 。
02、绝非孤案
实际上 ， 京东已不是第一次被曝数据外泄 。

• 情人节京东茅台有活动吗？会有什么活动？
• 京东新人券取消订单还能用吗？退款后还有效吗？
• 从零开始学淘宝数据运营01—数据营销的重要性
• 情人节京东自营买什么好？情人节京东有活动没？
• 情人节京东有活动没？有什么活动？
• 京东情人节福利在哪？京东情人节活动推荐
• 京东的省省卡建议开吗？省省卡每月多少钱？
• 新店你不得不做的数据分析
• 京东推出3C品质升级购
• 618京东品牌排行榜曝光