昨天我們發了關于京東用戶數據泄密的微信，今天我們展開來看整起事情到底是怎么回事。

事件之因

2016年12月11日晚間，來自網絡媒體一本財經的消息，12GB京東賬戶數據在暗網流通，數據多達數千萬條。據說本次泄露的賬戶數據包括了用戶名、密碼、郵箱地址、QQ號、電話號碼、身份證等消息。不過密碼經過了MD5加密。一本財經在報道中提到：

“一些地下渠道，開始對數據進行明碼標價，價格從‘10萬到70萬’不等。”

[[178847]]

這真可謂重磅炸彈了。不過京東今天已經正式給出回應，確認這部分數據泄露是緣于2013年的Struts 2安全漏洞，并表示京東很早就已經修復了此漏洞，而且當時已經提示存在風險的賬戶進行安全升級。

三年前的數據?是否還能造成危害?

我們可以從上面的數據看到，這份數據包含了用戶名 郵箱地址 密碼(簡單加密非常容易破解) 收貨地址 以及 身份證號碼 和 姓名。

據稱，這份數據已經被銷售多次，“至少有上百個黑產者手中掌握了數據”。而且“數據外泄的時間已經比較長了，至于為何現在又流通，原因未明”。

[[178849]]

京東在雙12的聲明中提到：

“經京東信息安全部門依據報道內容初步判斷，該數據源于2013年Struts 2的安全漏洞問題，當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響，導致大量數據泄露。京東在Struts 2的安全問題發生后，就迅速完成了系統修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全，依然存在一定風險。”

這表明數據泄露的情況的確存在，只不過數據是前幾年的了。無論如何，京東用戶還是需要提高警惕的。所以我們可以修改密碼，改改郵箱什么的，防止自己的財產被盜用。

但是，姓名和身份證能改嗎?收貨地址?

僅僅要求用戶單方面修改自己信息提高信息安全程度是指標不治本的，由用戶姓名和身份證引起信息安全事件數不勝數，承載用戶數據的公司和組織應該更注意對于數據的保護。應該做到：

①強化公司信息安全管理，建立信息安全體系。使用戶數據有保障。

②關注漏洞信息，對于可能潛藏風險的漏洞，要及時應對。

③了解相關市場信息，使可能泄露的數據有跡可尋。

【本文為51CTO專欄“柯力士信息安全”原創稿件，轉載請聯系原作者(微信號：JW-assoc)】