近日,京東12GB用戶(hù)數(shù)據(jù)泄漏的事情鬧得沸沸揚(yáng)揚(yáng)��。京東已經(jīng)這件事做出了正面回應(yīng)�,稱(chēng)這是源于2013年Struts 2的安全漏洞問(wèn)題����,當(dāng)時(shí)國(guó)內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行�����、政府機(jī)構(gòu)都受到了影響�����,導(dǎo)致大量數(shù)據(jù)泄露���。并且還特別強(qiáng)調(diào),京東在Struts 2的安全問(wèn)題發(fā)生
近日���,京東12GB用戶(hù)數(shù)據(jù)泄漏的事情鬧得沸沸揚(yáng)揚(yáng)��。京東已經(jīng)這件事做出了正面回應(yīng),稱(chēng)這是源于2013年Struts 2的安全漏洞問(wèn)題���,當(dāng)時(shí)國(guó)內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行��、政府機(jī)構(gòu)都受到了影響�,導(dǎo)致大量數(shù)據(jù)泄露��。并且還特別強(qiáng)調(diào),京東在Struts 2的安全問(wèn)題發(fā)生后����,就迅速完成了系統(tǒng)修復(fù),同時(shí)針對(duì)可能存在信息安全風(fēng)險(xiǎn)的用戶(hù)進(jìn)行了安全升級(jí)提示����,當(dāng)時(shí)受此影響的絕大部分用戶(hù)都對(duì)自己的賬號(hào)進(jìn)行了安全升級(jí)。
京東聲明中無(wú)道歉信息���,招致用戶(hù)不滿
京東已經(jīng)不是**次被曝?cái)?shù)據(jù)外泄����。2015年�,京東就被曝出大量用戶(hù)隱私信息泄露,多名用戶(hù)被騙走金錢(qián)�����,總共損失數(shù)百萬(wàn)元��。一年后京東給出的調(diào)查結(jié)果是3名物流人員通過(guò)物流流程����,掌握了用戶(hù)姓名、電話、地址�����、何時(shí)下單�����、所購(gòu)貨物等信息��。
就京東的對(duì)于此次用戶(hù)數(shù)據(jù)泄露的聲明似乎看不到道歉的信息�����,也沒(méi)有給出任何解決方案�,僅僅是提醒用戶(hù)高度重視信息安全和隱私保護(hù),此舉招致了諸多用戶(hù)的不滿�����。在用戶(hù)看來(lái)度�����,這是一種推卸責(zé)任的表現(xiàn)�。有用戶(hù)質(zhì)疑,為何三年前的一個(gè)問(wèn)題��,三年后都沒(méi)能得到有效解決?
如果京東的用戶(hù)數(shù)據(jù)事件影響擴(kuò)大����,無(wú)疑對(duì)京東在大眾心目中的品牌形象大打折扣,畢竟��,信任感不是一朝一夕就能培養(yǎng)出來(lái)的����。即使物流做的再完善,個(gè)人信息得不到有效保證�����,想必京東用戶(hù)的留存能力方面也將面臨巨大的考驗(yàn)
2013年漏洞所致����,為何不做徹底更改?
這件事發(fā)生之后����,就有人深挖了京東的這次用戶(hù)數(shù)據(jù)泄露事件,據(jù)資料來(lái)看�����,京東所指出的2013年Struts 2的安全漏洞問(wèn)題是這次數(shù)據(jù)泄露的核心所在。專(zhuān)業(yè)人士表示��,Struts是基于Java語(yǔ)言的一款開(kāi)源框架���,類(lèi)似基于PHP語(yǔ)言的Yii和Laravel���,攻擊者可以利用該漏洞執(zhí)行惡意java代碼,*終導(dǎo)致網(wǎng)站數(shù)據(jù)被竊取���、網(wǎng)頁(yè)被篡改等嚴(yán)重后果��,*終威脅到網(wǎng)站及網(wǎng)民的安全�。當(dāng)時(shí)的Struts2出現(xiàn)的高危漏洞波及范圍很廣��,國(guó)內(nèi)很多知名網(wǎng)站在內(nèi)的大量網(wǎng)站都受到了影響�����。
根據(jù)業(yè)內(nèi)人士的表示�����,類(lèi)似Struts2在2013年出現(xiàn)的高危漏洞����,若是框架自身安全性存在問(wèn)題,系統(tǒng)就極容易被攻擊����,所以有財(cái)力、能力的人往往都自造框架�。例如螞蟻金服方面以及阿里巴巴就因?yàn)镾truts框架本身存在安全漏洞,早就放棄了該技術(shù)��。
京東也是當(dāng)時(shí)Struts 2的安全漏洞問(wèn)題的波及者之一���,自然深知該技術(shù)的漏洞所在�����。但是�����,時(shí)隔三年之后�����,京東的用戶(hù)數(shù)據(jù)遭泄露竟然還是因?yàn)檫@次事件�����,這就不免令人對(duì)京東的技術(shù)遭質(zhì)疑了����,京東為何還不做改進(jìn)?
其實(shí)這個(gè)問(wèn)題很簡(jiǎn)單,不放棄Struts2產(chǎn)品自然是因?yàn)镾truts2有其自身優(yōu)勢(shì)所在����。根據(jù)業(yè)人士表示,Struts2采用的是開(kāi)源框架��,開(kāi)源框架優(yōu)勢(shì)就在于不僅出框架����,還能給出這個(gè)框架的搭建方法以及源碼。在此基礎(chǔ)上���,任何人都可以根據(jù)需要更改框架���。正因如此,Struts2得到了程序員的青睞����,因?yàn)槌绦騿T可以在*短的時(shí)間內(nèi)利用這個(gè)開(kāi)源框架��,可大大提升工作效率。
企如果要放棄該技術(shù)重新更換框架自然是好使耗材耗力的一件事���,但是如果是為了效率而放棄安全性����,這就是平臺(tái)自身的問(wèn)題了���。
各種金融類(lèi)產(chǎn)品層出不窮�����,如何讓用戶(hù)放心使用�?
目前的電商平臺(tái)�����,大多數(shù)都針對(duì)購(gòu)物開(kāi)展了金融業(yè)務(wù)��,例如螞蟻花唄���、京東白條等�����,這些業(yè)務(wù)大多是向消費(fèi)者提供類(lèi)似信用卡的服務(wù)��,即平臺(tái)給用戶(hù)一定的額度��,可進(jìn)行分期購(gòu)買(mǎi)商品�,以達(dá)到刺激消費(fèi)的作用。
正因如此���,這些金融類(lèi)賬號(hào)與電商平臺(tái)的普通購(gòu)物賬號(hào)有一定的關(guān)聯(lián)性����,而不法分子利用這個(gè)漏洞盜刷額度的事件在各個(gè)平臺(tái)都有出現(xiàn)�,而盜取預(yù)消費(fèi)額度確實(shí)也能夠達(dá)到與直接盜取錢(qián)財(cái)相同的效果。
網(wǎng)絡(luò)上也經(jīng)常會(huì)有這樣的事件被曝出�。例如前不久,溫州一男子就遇到了京東白條被盜刷的事情��。該男子稱(chēng)�,捆綁京東賬戶(hù)的手機(jī)被停機(jī)保號(hào),京東賬號(hào)密碼被重置,捆綁手機(jī)也被修改�,有人盜刷他的京東白條額度購(gòu)買(mǎi)了9553元的東西。
對(duì)于這次盜刷白條事件���,該男子表示質(zhì)疑�����,京東的重置密碼服務(wù)中是否存在重大漏洞?但是在律師看來(lái),這種情況要區(qū)別對(duì)待����。如果是用戶(hù)自己點(diǎn)了帶有病毒的鏈接所致,責(zé)任自然由用戶(hù)自己承擔(dān);但是如果用戶(hù)并無(wú)操作不當(dāng)�����,則是因?yàn)槠脚_(tái)系統(tǒng)安全級(jí)別過(guò)低�����,沒(méi)有達(dá)到行業(yè)標(biāo)準(zhǔn)��,責(zé)任應(yīng)當(dāng)由平臺(tái)承擔(dān)�。
無(wú)論是誰(shuí)的責(zé)任,目前這種一號(hào)多關(guān)聯(lián)的情況其實(shí)已經(jīng)為用戶(hù)的財(cái)產(chǎn)安全敲響了警鐘,因?yàn)橐坏┠骋粋€(gè)環(huán)節(jié)出問(wèn)題����,很可能就是牽一發(fā)而動(dòng)全身的結(jié)果。
在互聯(lián)網(wǎng)金融產(chǎn)品層出不窮的今天����,平臺(tái)承擔(dān)著極為重要的責(zé)任,為了提升效率搶市場(chǎng)而忽視在技術(shù)層面的改進(jìn)的做法終究是應(yīng)該摒棄的����。石家莊網(wǎng)絡(luò)優(yōu)化提示類(lèi)似白條這種產(chǎn)品,本是利民的一件事���,但金融類(lèi)產(chǎn)品留住用戶(hù)的核心支出是建立起平臺(tái)與用戶(hù)之間的信任感���。如果因?yàn)槠渌麊?wèn)題影響了這種信任感,就得不償失了�。
|