12月10日，网传疑似京东12GB用户数据被黑产明码标价售卖，而京东在12月10日当晚通过官方公众号《京东黑板报》对于数据泄露进行了及时回应：表示这部分数据失窃可能源于2013年7月Struts2安全漏洞时间，该漏洞在三年前内发现后就被京东修复，已对可能受影响用户做过了安全升级提示，目前仅有极少部分未进行账号安全升级的用户可能会受到影响。

　　我认为已经被公布的京东12GB数据泄露，因为早已进行了修补漏洞处置和用户安全升级提醒，其实潜在威胁算是基本可控，更可怕的后果，是大量受类似Struts 2安全漏洞影响的公司和用户还浑然不觉，这些随时可能引爆的隐形安全炸弹，需要动员整个社会和互联网行业的力量来进行安全排雷。

　　复盘Struts2漏洞始末，处置失当引发业内反思

　　在京东官方回复中，提到了Struts 2安全漏洞事件，可能对于不太关注信息安全的用户来说，这是一个相对陌生的事件，但正是Sturts 2安全漏洞处置失当，造成了整个互联网数据失窃的巨大危机，企业、政府、机构、个人，几乎所有互联网参与者，都受到了Struts 2漏洞处置失当的影响。

　　再优秀的大型的操作系统软件或者是数据库软件，都难以避免地存在不同程度的bug或者安全漏洞。当一些网络高手或者是安全组织，发现安全漏洞之后，通常会发出漏洞安全警示，来提醒系统厂商或者软件厂商进行漏洞修补。

　　但在2013年7月，Apache基金会旗下的Struts，在发现了一处安全漏洞之后并没有像行业通行的发出漏洞警告，而是非常轻率和儿戏地放出了该漏洞的源代码，这就相当于把网络安全的病灶公之于众，即便水平低下的黑客也能知道网络防御的软肋，这使得很多技术很普通的的黑客，也能利用Struts 2安全漏洞相对轻松地获取网络上的各类数据。

　　本来是很常规的一个安全漏洞，但由于Struts的不恰当处置，导致了黑客们竞相比拼，以利用漏洞侵入网站的数量来做此竞技的标准，这也造成了极其严重的后果，j2直播，据相关媒体报道，百度、腾讯、淘宝、京东等中国大型网站受到攻击，甚至商业银行和国家级的政府网站也未能幸免。至此，Struts 2安全漏洞事件几乎失控，京东、百度等国内互联网公司，在修补Struts 2安全漏洞之后，向用户发出了修改密码、安全升级的提示。此次网上传出的12GB京东给用户数据，据京东技术部门调查，很可能就发生在Struts 2漏洞事件期间。

　　严格来说，Struts这个本应作为安全防御守卫者和预警者角色的组织，因为奇葩又诡异的漏洞处置方式，实际上将信息安全的软肋暴露给全球的黑客，成为网络信息黑产业的帮凶，京东不过是公开的受害者之一。

　　真正的危险，源于未知和浑然不觉

　　在航海中，真正的危险来自于隐没水面之下的礁石和水手们的大意，而在互联网世界中，我认为真正的信息安全危机同样来自于未知和浑然不觉。当健康的人体被细菌或者病毒侵入之后，人们会有发热、发炎等变化，这种免疫系统的有效提示，给人类的应对来自外界的生化威胁时提供了线索和提示。

　　相比京东已经被曝光和处理过的用户数据泄露，我认为更具破坏潜力的是，那些在其它网站后台早已被黑客窃取了用户账号、密码、地址等敏感数据而毫无察觉的用户，他们在网络安全黑产中才是真正的”富矿”。

　　要解决网络安全问题，我认为很重要的一条，就是中国互联网企业要建立信息安全的联盟，就像保险行业信息共享或者银行体系的征信共享，可以通过网络安全的信息共享，增强安全漏洞修补能力，也能够在一家平台出现数据泄漏后，对其它厂商发出撞库风险提示，并通过后台的大数据和防御体系进行协同布防，这要比某家企业单打独斗更有效果。

　　应该对网络黑产每个环节都进行手术刀式打击

　　无论是在现实世界，还是在数码世界，绝对的安全都不存在。理论上来说，任何防御体系或密码都是可以被破解的，区别只是在于破解的难度、时间和效益。所以，信息安全的这件事，并不是某一个企业或者组织的事，而是所有互联网产业的参与者都应该高度重视和防范的。