文/張勤

針對網(wǎng)上傳出的京東12G用戶數(shù)據(jù)泄露事件，12月11日，京東方獨(dú)家回應(yīng)騰訊財經(jīng)稱，該數(shù)據(jù)源于2013年的一次安全漏洞。目前，京東仍有“非常罕見的”系統(tǒng)使用框架，但已適當(dāng)升級，“目前沒有安全問題”。

12月11日，自媒體《一財經(jīng)》報道，近日黑市流傳了一個京東12G流量包，包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等維度. 高達(dá)數(shù)千萬。隨后，部分京東用戶也反映，其京東白條近期被盜。

京東回應(yīng)稱，根據(jù)信息安全部門初步判斷，該數(shù)據(jù)來源于此前的“2013年2月的安全漏洞”。導(dǎo)致大規(guī)模數(shù)據(jù)泄露。

12月11日，京東方向騰訊財經(jīng)表示，2次安全問題發(fā)生后，京東已完成系統(tǒng)修復(fù)，對可能受到安全威脅的用戶賬戶進(jìn)行分析，對安全系統(tǒng)進(jìn)行升級，并提醒存在風(fēng)險的用戶升級安全措施。目前京東還有少數(shù)系統(tǒng)應(yīng)用了該框架，但使用范圍主要在騰云網(wǎng)絡(luò)內(nèi)部。

但京東并未正面回應(yīng)為何最近發(fā)現(xiàn)2013年系統(tǒng)漏洞泄露用戶信息。京東表示，在未獲得自媒體報道的數(shù)據(jù)庫前，無法給出更詳細(xì)的信息。

它是什么

是基金會的開源項目，廣泛應(yīng)用于大型互聯(lián)網(wǎng)公司、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè)，作為網(wǎng)站開發(fā)的底層模板。

2是下一代產(chǎn)品，是在先進(jìn)技術(shù)的基礎(chǔ)上融合形成的新架構(gòu)。

2013年7月17日，高危漏洞出現(xiàn)。包括國內(nèi)眾多知名網(wǎng)站在內(nèi)的大量網(wǎng)站都不同程度地受到該漏洞的影響。攻擊者可利用該漏洞執(zhí)行惡意java代碼，最終導(dǎo)致網(wǎng)站數(shù)據(jù)被盜、網(wǎng)頁被篡改等嚴(yán)重后果，對網(wǎng)站和網(wǎng)民的安全造成極大威脅。

國內(nèi)某大型互聯(lián)網(wǎng)公司技術(shù)開發(fā)人員告訴騰訊財經(jīng)，它是一個基于Java語言的開源框架，類似Yii和PHP基于PHP語言。

”前人在使用基礎(chǔ)語言操作時發(fā)現(xiàn)了共性，然后將基礎(chǔ)內(nèi)容提煉出來，于是就有了框架。開源框架指的不僅僅是給你框架，還有框架的構(gòu)建方法，還有作為源代碼。我會把它給你?！?上述開發(fā)者告訴騰訊財經(jīng)，在此基礎(chǔ)上，任何人都可以根據(jù)需要更改框架，甚至在過程中發(fā)現(xiàn)框架的不足和漏洞。

該人士提到，Java語言的開發(fā)效率低于PHP，但運(yùn)行速度優(yōu)于后者，相對更適合項目較大的系統(tǒng)。國內(nèi)電商平臺普遍使用Java語言，如淘寶、京東等。

騰訊財經(jīng)從螞蟻金服開發(fā)負(fù)責(zé)人處了解到，雖然螞蟻金服和阿里巴巴集團(tuán)業(yè)務(wù)團(tuán)隊的開發(fā)語言基本都是基于JAVA，但很早就不再使用該框架。主要原因是框架本身存在安全漏洞，前后端分離，技術(shù)早已落伍。

上述人士告訴騰訊財經(jīng)，目前Java開發(fā)的主流框架是mvc，包括各個公司在自己的基礎(chǔ)上開發(fā)的自定義框架。

有什么風(fēng)險？

針對“框架風(fēng)險是對系統(tǒng)安全的威脅”這一話題，某互聯(lián)網(wǎng)上市公司程序開發(fā)人員告訴騰訊財經(jīng)：“框架就像一個柜子，大綱已經(jīng)有了，層層怎么劃分，怎么劃分？放不放是你的事，你說了算。隔間、東西的擺放都是小問題，但框架出了問題，影響才是根本。”

他提到，類似于2013年出現(xiàn)的高危漏洞，如果框架本身的安全性出現(xiàn)問題，系統(tǒng)極易受到攻擊，所以往往有財力有能力的人自己創(chuàng)建框架。

“但很多程序員面臨的問題是，騰云網(wǎng)絡(luò)需要快速迭代，明天產(chǎn)品上線，今天還要寫框架，費(fèi)時費(fèi)力，干脆就靠開源框架吧?！?他說。

據(jù)他介紹，最初有2名官員就該框架可能存在的安全漏洞發(fā)表了聲明。開發(fā)者在使用該框架編寫代碼時，需要進(jìn)行必要的安全處理。

安全漏洞的官方提示

例如，當(dāng)出現(xiàn)漏洞時，會提示用戶升級網(wǎng)站開發(fā)，但如果暫時無法升級，系統(tǒng)會發(fā)出安全級別最高為“重要”或“極其重要”的提醒，并附上相應(yīng)的解決方案。

最高安全級別很重要

相應(yīng)的解決方案

所有開發(fā)者必讀，安全級別最高的“極其重要”的安全提示

“就好像有人告訴你冬天容易感冒，要多穿衣服。但如果你還是少穿衣服，不采取這種安全措施，那就不能怪別人了。”冷。” 上述開發(fā)商說。

據(jù)了解，2013年7月之前，2中存在兩個高危漏洞網(wǎng)站模板，讓黑客獲得了網(wǎng)站服務(wù)器的“最高權(quán)限”，從而讓企業(yè)服務(wù)器成為黑客手中的“肉雞”。據(jù)媒體報道，當(dāng)時有70%的大型互聯(lián)網(wǎng)騰云網(wǎng)絡(luò)和政府機(jī)構(gòu)受此漏洞影響。

之前金融銀行網(wǎng)站受災(zāi)最嚴(yán)重

對于目前框架的應(yīng)用現(xiàn)狀，上述螞蟻金服的開發(fā)者告訴騰訊財經(jīng)，目前還在使用的騰云網(wǎng)絡(luò)不在少數(shù)，大部分由于技術(shù)惰性，不愿對原本可用的技術(shù)方案進(jìn)行改進(jìn)。

“早期是Java后端開發(fā)非常成熟的解決方案郵件系統(tǒng) 開源php，被廣泛采用。后來，很多問題和漏洞陸續(xù)爆發(fā)。但是，企業(yè)需要更換整體框架，無論是在“在技術(shù)或操作層面，存在很多問題。阻力，”他說。

五云平臺漏洞報告顯示，2013年高危漏洞出現(xiàn)后，淘寶、京東等互聯(lián)網(wǎng)大廠受此影響，漏洞利用代碼得到加強(qiáng)，允許用戶對服務(wù)器進(jìn)行任意操作通過瀏覽器提交直接獲取敏感內(nèi)容。

同時，該漏洞影響巨大，受影響站點(diǎn)多為電商、銀行、門戶網(wǎng)站、政府等。其中，金融、銀行類網(wǎng)站成為該漏洞的重災(zāi)區(qū)。

對此，上述人士認(rèn)為，在框架暴露出大量漏洞并逐漸被新技術(shù)取代后，由于技術(shù)反應(yīng)遲緩郵件系統(tǒng) 開源php，不少銀行機(jī)構(gòu)仍在使用該技術(shù)?！霸缙诘木W(wǎng)銀優(yōu)盾等方式通過設(shè)置更多人為的障礙來降低安全風(fēng)險。在銀行之外，京東允許用戶修改密碼，實際上并不能避免用戶信息泄露，只能說加強(qiáng)對密碼的保護(hù)。保護(hù)?！?/p>

據(jù)《財經(jīng)》援引一位業(yè)內(nèi)人士的話說，京東泄露的數(shù)據(jù)已經(jīng)被多次出售，“至少有數(shù)百家黑產(chǎn)商掌握了數(shù)據(jù)”。

某互聯(lián)網(wǎng)公司旗下電商平臺技術(shù)人員告訴騰訊財經(jīng)，已經(jīng)流傳的信息可能存在窺探其他數(shù)據(jù)的可能。這是因為黑生產(chǎn)者可以利用它來進(jìn)行進(jìn)一步的“撞庫”操作。

崩潰填充是指黑客在互聯(lián)網(wǎng)上收集泄露的用戶和密碼信息，生成相應(yīng)的字典表，并嘗試批量登錄其他網(wǎng)站，獲取一系列可以登錄的用戶信息。

據(jù)他介紹，一般情況下，系統(tǒng)在數(shù)據(jù)庫中存儲用戶密碼時，并不會存儲密碼的原始文本，而是存儲經(jīng)過MD5、Sha1等加密后的數(shù)據(jù)。如果密碼的加密字符串為得到，反編譯得到密碼原文。

“加密后，破解密碼往往需要很長時間。但如果密碼在數(shù)據(jù)庫中已經(jīng)被解密，與新密碼相比，黑客往往可以瞬間破解。” 那人說。

據(jù)了解。很多用戶在不同的網(wǎng)站使用相同的賬號和密碼，黑客可以通過獲取用戶在A網(wǎng)站的賬號來嘗試登錄B網(wǎng)站。