京东确认用户数据外泄，并被明码标价，“数据黑产”已成可怕产业链

正文

请到「今天看啥」查看全文

据业内人士称，数据已被销售多次，“至少有上百个黑产者手里掌握了数据”。

“数据外泄的时间已比较长了，至于为何现在又流通，原因未明，”业内人士透露，暂且很难确认是“内鬼”还是“黑客盗取”。

业内人士称， 大部分数据外泄后，黑客会先进行洗库，登录账户将有价值的内容清洗一遍，比如登录游戏账户，将虚拟币转走。一般这个清洗过程，需要几个月甚至更长时间。

第二次“洗库”，才会将数据出售，“数据价值榨取殆尽了，再给市面上的人来分渣”。

值得注意的是，这些数据的用户密码都进行过MD5加密，要通过专业破解软件，才能得到原密码。

业内人士称，一般MD5破解需要一定时间，但有些密码在数据库中已被其他人解密过，能瞬间破解，比如123456；如果是一个新密码，破解时间就较长。

可瞬间破解的账号，一般只占3-5%。

记者（注：一本财经记者）尝试根据部分用户名和破解的密码登陆，确实大部分可登陆京东账户。

▲ 姚鑫的密码就可瞬间破解（设计一个复杂密码是多么重要）

登陆之后，用户在京东上的订单、地址、交易等信息都一览无遗。甚至一本财经记者从数据库中搜索自己名字，发现信息也早已外泄。

“黑客拿到这些数据，还可进行撞库操作”，业内人士称。所谓“撞库”，是一个黑产的专业术语，即黑客会通过已泄露的用户名和密码，尝试批量登录其他网站，获取数据。

这就是人类设计密码的缺陷，大部分人为了记得住，都会用同一个用户名和密码，导致撞库成功率极高。

伤害值最高最直接的，就是撞进一些金融账户，直接将资金转走。

今日，京东就此事发出声明称（文末附声明全文），这些数据源于2013年Struts 2的安全漏洞问题，导致大量数据泄露。

请到「今天看啥」查看全文