昨天有篇文章《京東數(shù)據(jù)疑似外泄》，大致是講一個12G的數(shù)據(jù)包出現(xiàn)在黑市上，里面包括了用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，多達(dá)數(shù)千萬條的用戶數(shù)據(jù)，而據(jù)說這些數(shù)據(jù)來自京東。這篇文章幾乎刷爆了朋友圈，嚇得我趕緊去京東修改了密碼。

然后我在仔細(xì)看了相關(guān)資料之后，才啞然失笑，這些媒體真心扮演了一回黑客組織的免費“廣告推廣”。好吧，今天我就來開扒這個事件背后的真相。（掃描文末二維碼關(guān)注可獲取更多內(nèi)幕，每日一深度?。?/p>

　　【小普及：關(guān)于Struts 2漏洞】

首先我們需要聊聊，2013年這個事件的起因是網(wǎng)站后臺Struts 2漏洞被黑客利用，大肆獲取數(shù)據(jù)包的結(jié)果。

那么什么叫Struts 2漏洞，這個事件為何影響面如此之廣？

Struts是Apache基金會贊助的一個開源項目，Struts框架廣泛應(yīng)用于政府、公安、交通、金融行業(yè)和運營商的網(wǎng)站建設(shè)，作為網(wǎng)站開發(fā)的底層模板使用。

2013年7月17日，Apache Struts2發(fā)布漏洞公告，稱其Struts2 Web應(yīng)用框架存在一個可以遠(yuǎn)程執(zhí)行任意命令的高危漏洞。據(jù)當(dāng)時報道，Struts 2漏洞直接導(dǎo)致國內(nèi)的很多銀行、政府機構(gòu)、幾乎所有的大中型互聯(lián)網(wǎng)公司，國外的包括蘋果的開發(fā)者網(wǎng)站都被黑掉了，這和Struts官方不負(fù)責(zé)任的態(tài)度有很大關(guān)系。

官方這次在自己的漏洞公告中直接把漏洞利用代碼給貼出來了，這是一種很罕見的做法。這種不負(fù)責(zé)任的做法很快帶來了災(zāi)難性的后果！

從很多年前起，安全行業(yè)里默認(rèn)的行規(guī)是“提示漏洞存在，但只公布描述，不公布細(xì)節(jié)”。大多數(shù)安全公告連漏洞涉及的代碼都不公布，更遑論直接給出漏洞利用方法的。這樣做的原因就是為了防止漏洞細(xì)節(jié)被黑客看到后，直接利用漏洞攻擊用戶。

Struts這個漏洞這次本來不會這么嚴(yán)重，過往有些比這更嚴(yán)重的漏洞也沒有造成這么惡劣的影響。但官方不負(fù)責(zé)任的披露了漏洞利用方法，首先就讓這個漏洞被大面積利用成為可能。然后國內(nèi)的黑客們看到后，在某社區(qū)里引起了熱烈的討論。接下來有不少黑客，利用官方給出的“幫助”，很輕松的就寫出了自動利用的工具，并開始找網(wǎng)站漏洞。

故事講到這里，一切都開始變得失控了。接下來有黑客們開始展開競賽一般的“戰(zhàn)果展示”，把存在漏洞的網(wǎng)站公布在第三方平臺上，這就好比“殺人比賽”一樣，就看誰干掉的網(wǎng)站多，看誰干掉的網(wǎng)站大。他們的戰(zhàn)果豐碩，干掉了包括百度、騰訊、淘寶等在內(nèi)的很多大網(wǎng)站，甚至是國家級的政府網(wǎng)站，這進(jìn)一步又在微博上引發(fā)了不少大號們對這個漏洞的討論。

因此，可以說3年前的這個黑客風(fēng)暴，影響面之廣，的確前所未有，但罪魁禍?zhǔn)?，卻是Struts自身。

【這個事件對京東用戶的影響是什么？究竟有多大呢？】

首先，京東外泄的數(shù)據(jù)是來自2013年7月份的，我無法判斷為什么現(xiàn)在這個數(shù)據(jù)庫才出現(xiàn)在黑客圈子里，很多原因都還不明，但從種種跡象看，過去的兩年多時間，這個數(shù)據(jù)庫并沒有被黑產(chǎn)所利用；而到了現(xiàn)在，很多用戶的信息都已經(jīng)改變的情況下，再次被媒體大肆宣傳，是不是太杞人憂天？

其次，據(jù)我所知，這些數(shù)據(jù)都是通過MD5加密，解密過程比較復(fù)雜。

搞hack都免不了碰到MD5加密數(shù)據(jù)，現(xiàn)在許多數(shù)據(jù)庫密碼等都是通過MD5加密，這種加密方式比較普遍。但是這些破解屬于在現(xiàn)有加密庫中檢索的方式，對于稍微復(fù)雜的密碼就得靠運氣，其實成功率相當(dāng)?shù)汀?/p>

從13年到現(xiàn)在過了3~4年時間，這些簡單密碼又往往是很多年前注冊，并很快轉(zhuǎn)用其他賬戶登錄的用戶，他們不會再登錄這個賬戶，因此沒有收到京東的提示而修改密碼，也就是極度不活躍用戶；黑客把這些用戶信息挑出來組成了一個供售前預(yù)覽的名單，看起來價值會很大。實際卻無實際意義。

因此數(shù)字披露有可能是以偏概全。因為只能從媒體的只言片語中片段，可能存在兩個情況，核心都是在與黑客的目的是售出這個庫，因此對外展示的會是最有價值的信息。

從另一個角度來說，盡管黑市買賣雙方皆稱，這些數(shù)據(jù)來自京東。但同樣不排除黑客為了提高數(shù)據(jù)的銷售效果，加入了其他渠道獲取的部分用戶數(shù)據(jù)，例如撞庫的數(shù)據(jù)庫。簡單來說，這些數(shù)據(jù)信息有可能是其它被黑的網(wǎng)站數(shù)據(jù)庫，用戶的這些數(shù)據(jù)與其在京東的賬戶密碼相同。

第三，我們必須看到，事件發(fā)生之后，京東方面迅速采取幾方面的應(yīng)對措施。

首先京東立刻對風(fēng)險客戶采取了安全措施，一般而言，就是要求這些用戶登錄后迅速進(jìn)行手機驗證，并更換密碼，避免賬號被黑客攻破的可能性；

同時，加入網(wǎng)站的風(fēng)險賬戶庫，也就意味著這些賬戶的登錄等行為都會受到嚴(yán)格監(jiān)控和限制，讓黑客拿到也沒有辦法加以利用，既無法登錄京東賬戶，也無法拿去其他網(wǎng)站撞庫；

京東對用戶信息從存儲、傳輸、展示三方面都進(jìn)行了妥善的安全處理，例如，黑客即使進(jìn)入一個京東賬戶，也無法看到完整的敏感信息，保護(hù)用戶利益不被侵害。

以上我們不難看出，數(shù)據(jù)的外泄，黑客組織更多是以京東作為宣傳噱頭，以此提高銷售價格而已。媒體的炒作，一方面變相幫助了黑市的宣傳，另一方面以此來提升“閱讀量”。

這個鍋，不應(yīng)該京東來背。

　　【互聯(lián)網(wǎng)安全現(xiàn)狀分析】

事實上，關(guān)于互聯(lián)網(wǎng)數(shù)據(jù)庫信息被黑客獲取的新聞這些年真的是時有發(fā)生。

比如，2011年春季Sony公司不同部門都遭遇多次黑客入侵事件，導(dǎo)致7700萬個信用卡賬戶被盜。其中受創(chuàng)最嚴(yán)重的當(dāng)屬索尼PlayStation Network部門。無數(shù)玩家個人信息因此被泄露，此次事件后果嚴(yán)重影響了Sony的聲譽，同時人們開始懷疑全球云計算產(chǎn)業(yè)的安全性。

互聯(lián)網(wǎng)安全形勢的確不容樂觀，因為越來越多的交易在互聯(lián)網(wǎng)上發(fā)生，吸引了很多黑客的關(guān)注。所謂魔高一尺道高一丈，黑客與安全體系的博弈會一直繼續(xù)下去。

除了及時發(fā)現(xiàn)漏洞迅速修補，很多系統(tǒng)安全的基礎(chǔ)工作也非常重要。從這些事件看，京東應(yīng)對還算是積極和及時的。這幾年，京東在用戶敏感信息的加密、隱藏顯示上做的工作都有效保障的用戶的信息安全。

而京東作為受害網(wǎng)站之一，被黑客產(chǎn)業(yè)單獨拿出來“銷售”，其實是被“背鍋”。正因為京東的用戶在電商行業(yè)中擁有“高價值”，因此為了提高數(shù)據(jù)買賣價值故意放出的噱頭，要是放個小公司估計關(guān)注者寥寥。

因此，我認(rèn)為，面對龐大的黑產(chǎn)鏈條，我們更應(yīng)該討論的是如何讓各個互聯(lián)網(wǎng)企業(yè)攜起手來，建立共同防御、共同應(yīng)對的機制，讓黑客無處遁形。

之前我也曾說過，銀行新五條發(fā)布之后，新的網(wǎng)絡(luò)詐騙出現(xiàn)了。因此，網(wǎng)絡(luò)安全防范意識真的是每個人的事情。這次我再給大伙講講一些網(wǎng)絡(luò)安全小貼士，網(wǎng)絡(luò)安全，從我做起：

1、網(wǎng)絡(luò)賬戶和密碼不要過于簡單，特定的賬戶密碼容易被黑客撞庫攻擊。

2、不要把敏感信息如銀行卡、身份證等信息隨意暴露在網(wǎng)上，尤其是現(xiàn)在的社交網(wǎng)站，注意個人信息的安全。

3、注意保護(hù)個人電腦、手機等信息終端的信息安全，不要讓病毒入侵、植入木馬等。

4、注意甄別網(wǎng)絡(luò)安全，不要被各類虛假信息迷惑，進(jìn)入釣魚網(wǎng)站。

5、對于打著電商客戶名義而來的電話、QQ應(yīng)該格外小心，避免點擊通過即時通訊軟件發(fā)過來的所謂退貨、用戶中心網(wǎng)址。

王冠雄，著名觀察家，中國十大自媒體（見各大權(quán)威榜單）。主持和參與4次IPO，傳統(tǒng)企業(yè)“互聯(lián)網(wǎng)+”轉(zhuǎn)型教練。每日一篇深度文章，發(fā)布于微信、微博、搜索引擎，各大門戶、科技博客等近30個主流平臺，覆蓋400萬中國核心商業(yè)、科技人群。為金融時報、福布斯等世界級媒體撰稿人，觀點被媒體廣泛轉(zhuǎn)載引用，影響力極大，詳情可百度。