个人信息被反复售卖 京东数据泄露背后： 信息黑色产业链环环相扣

12月14日，京东方面就数据泄露事件接受《中国经营报》记者采访时表示，目前已经和警方进行了沟通。

12月10日，网传疑似京东用户数据被明码标价售卖。12月11日，京东官方确认了数据泄露的真实性并表示此次数据泄露源于2013年Struts2的安全漏洞问题，已经完成了系统修复。

据本报记者梳理了解，这并不是京东第一次出现数据泄露问题，而就整个信息数据黑色产业链来看，京东数据泄露也只是冰山一角。

12月13日，本报记者在微博上以“开房数据查询”作为关键字进行查询，不少用户在微博上表示可以查询出入境、银行流水、手机定位等信息，并明确表明可查询的内容、所需要的时间等。

据业内人士介绍，个人信息数据泄露渠道众多，而在互联网时代信息数据的价值越来越凸显，目前虽然有相关法律法规保障信息，但由于信息流通次数过大、立案调查成本过高，导致很难寻根溯源找到售卖数据的组织。

京东数据泄露事件已与警方沟通

12月10日，网传疑似京东12GB用户数据被明码标价售卖，被泄露的数据包括用户名、密码、邮箱、电话号码、身份证等多个维度，数据多达数千万条。

在大量网友的质疑声中，12月11日，京东在其官方微信公众号“ 京东黑板报”上发布了题为《关于有媒体报道京东数据安全问题的声明》，确认了数据泄露的真实性。京东表示，经信息安全部门依据报道内容初步判断，此次数据泄露源于2013年Struts2的安全漏洞问题，已经完成了系统修复。同时针对可能存在信息安全风险的用户进行了安全升级提示。此外，京东还建议用户高度重视信息安全和隐私保护，运用高强度密码等提高账户安全等级。

12月14日，京东公关部门在接受本报记者采访时表示，已经和警方沟通了这一事件，关于数据泄露事件以京东官方回复为准。

据了解，出现安全漏洞的Struts2是一个Web 框架，普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。12月13日，武汉大学计算机学院教授陈晶对本报记者解释：“Struts来源于建筑和旧式飞机中使用的支持金属架。这个框架叫‘Struts’，是为了提醒我们记住那些支撑房屋、桥梁的基础支撑。这也是一个解释Struts在开发Web应用程序中所扮演角色的精彩描述，当建立一个物理建筑时，建筑工程师使用支柱为建筑的每一层提供支持。同样，软件工程师使用Struts为业务应用的每一层提供支持。它的目的是为了帮助我们减少在运用MVC(Model-View -Controller) 设计模型来开发Web应用的时间。”

陈晶表示，Struts2是当前web开发广泛采用的开源架构，虽然比Struts安全，但仍存在各种安全漏洞。随着各种补丁的公布，当前安全性有所提高。但企业不能将所有的安全问题归结为Web开发框架的安全性问题，而应该综合采用如防火墙、入侵检测系统、加密存储等多种防护手段，保障用户的数据安全。

值得注意的是，京东声明中提及的“2013年Struts 2的安全漏洞问题”指的是在 2013年7月17日，Struts2曾出现的高危漏洞，攻击者可以利用该漏洞执行恶意Java代码，最终导致网站数据被窃取、网页被篡改等严重后果。

互联网观察人士、河豚品牌创始人王鹏辉对本报记者表示，2013年的Struts2漏洞本身是一个很常规的安全漏洞，但由于当时Struts团队处理不当，直接对外公布了此漏洞，导致黑客很容易对采用Struts2技术的平台进行攻击，京东是事件中的受害者。据悉，Struts2事件影响力巨大，国内很多知名网站都受到此漏洞不同程度的影响，甚至商业银行和国家级的政府网站也未能幸免。