虎嗅注：近日，京东疑似有12GB的数据外泄引起轩然大波，本文昨晚（12月10日）发布后，京东方面迅速做出反应，于12月11日凌晨2点，京东旗下公众号“京东黑板报”发表声明称，

　　经京东信息安全部门依据报道内容初步判断，该数据源于2013年Struts 2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响，导致大量数据泄露。京东在Struts 2的安全问题发生后，就迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。

　　京东在此也强烈建议用户高度重视信息安全和隐私保护，在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码，开启手机验证和支付密码，并将登录密码和支付密码设为高强度的复杂密码，提高账户安全等级。

　　同时，针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为，京东已与警方建立了长效的合作机制，并将联合警方进行坚决的打击。

　　以上是京东的回应，atv，以下是虎嗅的头条正文。

　　作者：一本财经（ID：yibencaijing）

　　最近，黑市上出现重磅“炸弹”，一个12G的数据包开始流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。

　　而黑市买卖双方皆称，这些数据来自京东。

　　京东方对此表示，正在紧急核实数据真伪。

　　01、数据之谜

　　最近，因为这12G的数据包，黑产再次被搅动。

　　一些地下渠道，开始对数据进行明码标价交易，价格从“10万到70万”不等。

　　▲ 外泄数据部分截图

　　▲ 数据分为几个维度：姓名、密码、邮箱、QQ、身份证、电话等

　　据业内人士称，数据已被销售多次，“至少有上百个黑产者手里掌握了数据”。

　　“数据外泄的时间已比较长了，至于为何现在又流通，原因未明，”业内人士透露，暂且很难确认是“内鬼”还是“黑客盗取”。

　　业内人士称， 大部分数据外泄后，黑客会先进行洗库，登录账户将有价值的内容清洗一遍，比如登录游戏账户，将虚拟币转走。一般这个清洗过程，需要几个月甚至更长时间。

　　第二次“洗库”，才会将数据出售，开奖，“数据价值榨取殆尽了，再给市面上的人来分渣”。

　　值得注意的是，这些数据的用户密码都进行过MD5加密，要通过专业破解软件，才能得到原密码。

　　业内人士称，一般MD5破解需要一定时间，但有些密码在数据库中已被其他人解密过，能瞬间破解，比如123456；如果是一个新密码，破解时间就较长。

　　可瞬间破解的账号，一般只占3-5%。

　　记者尝试根据部分用户名和破解的密码登陆，确实大部分可登陆京东账户。

　　▲ 姚鑫的密码就可瞬间破解（设计一个复杂密码是多么重要）

　　登陆之后，用户在京东上的订单、地址、交易等信息都一览无遗。

　　甚至一本财经记者从数据库中搜索自己名字，发现信息也早已外泄。

　　“黑客拿到这些数据，还可进行撞库操作”，业内人士称。

　　所谓“撞库”，是一个黑产的专业术语。

　　就是黑客会通过已泄露的用户名和密码，尝试批量登录其他网站，获取数据。

　　这就是人类设计密码的缺陷，大部分人为了记得住，都会用同一个用户名和密码，导致撞库成功率极高。

　　伤害值最高最直接的，就是撞进一些金融账户，直接将资金转走。

　　12月9日，一本财经向京东核实相关情况。截止发稿前，京东给出的最新回应称，目前正在找技术部门紧急核实，暂时还无法确认数据真伪。

　　02、绝非孤案

　　实际上，京东已不是第一次被曝数据外泄。

　　2015年，京东就被曝出大量用户隐私信息泄露，多名用户被骗走金钱，总共损失数百万。

　　直到一年后，京东才公布调查结果，称是因为出现“内鬼”。

　　所谓的“内鬼”，是3位物流人员，通过物流流程，掌握了用户姓名、电话、地址、何时下单、所购货物等信息，总数据达到9313条。

　　而电商平台，一直是数据泄漏的重灾区之一。

　　2014年年初，支付宝被爆20G用户资料泄漏。

　　后经调查，此次泄漏是“内部作案”：支付宝前技术员工李明，利用职务之便，多次在公司后台下载用户资料。

　　这20G资料，包括用户个人的实名、手机、电子邮箱、家庭住址、消费记录等，相当精准。

　　李明和两位同伙，将用户资料按条数出售，价格不等，价值较高的，一条可卖数十元；也有人以500元的代价，购买了3万条用户信息。

　　这个故事中更有意思的部分是，购买这些数据的买家，都是“友商”，比如其他电商平台。

　　除了支付宝，早在2012年，1号店被曝网上商城员工与离职、外部人员内外勾结，90万用户资料泄露，价格只需500元。

　　可见“内鬼”是电商信息泄漏的重要原因，除此之外，电商平台由于自身技术漏洞，被黑客戳中软肋，盗走数据，也是常见现象。

　　2014年，是电商平台安全风险集中爆发的一年。

　　3月，当当网113位用户账户余额被盗用。

　　黑客先是盗取用户登录信息，然后修改用户绑定手机、邮箱地址等信息，最后购买电子产品等贵重商品。

　　当当网在舆论重压下，宣布给予用户补偿。