文/張勤

針對(duì)網(wǎng)上傳出的京東12G用戶數(shù)據(jù)泄露事件，12月11日，京東方獨(dú)家回應(yīng)騰訊財(cái)經(jīng)稱，該數(shù)據(jù)源于2013年的一次安全漏洞。目前，京東仍有“非常罕見(jiàn)的”系統(tǒng)使用框架，但已適當(dāng)升級(jí)，“目前沒(méi)有安全問(wèn)題”。

12月11日，自媒體《一財(cái)經(jīng)》報(bào)道，近日黑市流傳了一個(gè)京東12G流量包，包括用戶名、密碼、郵箱、QQ號(hào)、電話號(hào)碼、身份證等維度. 高達(dá)數(shù)千萬(wàn)。隨后，部分京東用戶也反映，其京東白條近期被盜。

京東回應(yīng)稱，根據(jù)信息安全部門(mén)初步判斷，該數(shù)據(jù)來(lái)源于此前的“2013年2月的安全漏洞”。導(dǎo)致大規(guī)模數(shù)據(jù)泄露。

12月11日，京東方向騰訊財(cái)經(jīng)表示，2次安全問(wèn)題發(fā)生后，京東已完成系統(tǒng)修復(fù)，對(duì)可能受到安全威脅的用戶賬戶進(jìn)行分析，對(duì)安全系統(tǒng)進(jìn)行升級(jí)，并提醒存在風(fēng)險(xiǎn)的用戶升級(jí)安全措施。目前京東還有少數(shù)系統(tǒng)應(yīng)用了該框架，但使用范圍主要在騰云網(wǎng)絡(luò)內(nèi)部。

但京東并未正面回應(yīng)為何最近發(fā)現(xiàn)2013年系統(tǒng)漏洞泄露用戶信息。京東表示，在未獲得自媒體報(bào)道的數(shù)據(jù)庫(kù)前，無(wú)法給出更詳細(xì)的信息。

它是什么

是基金會(huì)的開(kāi)源項(xiàng)目，廣泛應(yīng)用于大型互聯(lián)網(wǎng)公司、政府、金融機(jī)構(gòu)等網(wǎng)站建設(shè)，作為網(wǎng)站開(kāi)發(fā)的底層模板。

2是下一代產(chǎn)品，是在先進(jìn)技術(shù)的基礎(chǔ)上融合形成的新架構(gòu)。

2013年7月17日，高危漏洞出現(xiàn)。包括國(guó)內(nèi)眾多知名網(wǎng)站在內(nèi)的大量網(wǎng)站都不同程度地受到該漏洞的影響。攻擊者可利用該漏洞執(zhí)行惡意java代碼，最終導(dǎo)致網(wǎng)站數(shù)據(jù)被盜、網(wǎng)頁(yè)被篡改等嚴(yán)重后果，對(duì)網(wǎng)站和網(wǎng)民的安全造成極大威脅。

國(guó)內(nèi)某大型互聯(lián)網(wǎng)公司技術(shù)開(kāi)發(fā)人員告訴騰訊財(cái)經(jīng)，它是一個(gè)基于Java語(yǔ)言的開(kāi)源框架，類似Yii和PHP基于PHP語(yǔ)言。

”前人在使用基礎(chǔ)語(yǔ)言操作時(shí)發(fā)現(xiàn)了共性，然后將基礎(chǔ)內(nèi)容提煉出來(lái)，于是就有了框架。開(kāi)源框架指的不僅僅是給你框架，還有框架的構(gòu)建方法，還有作為源代碼。我會(huì)把它給你?！?上述開(kāi)發(fā)者告訴騰訊財(cái)經(jīng)，在此基礎(chǔ)上，任何人都可以根據(jù)需要更改框架，甚至在過(guò)程中發(fā)現(xiàn)框架的不足和漏洞。

該人士提到，Java語(yǔ)言的開(kāi)發(fā)效率低于PHP，但運(yùn)行速度優(yōu)于后者，相對(duì)更適合項(xiàng)目較大的系統(tǒng)。國(guó)內(nèi)電商平臺(tái)普遍使用Java語(yǔ)言，如淘寶、京東等。

騰訊財(cái)經(jīng)從螞蟻金服開(kāi)發(fā)負(fù)責(zé)人處了解到，雖然螞蟻金服和阿里巴巴集團(tuán)業(yè)務(wù)團(tuán)隊(duì)的開(kāi)發(fā)語(yǔ)言基本都是基于JAVA，但很早就不再使用該框架。主要原因是框架本身存在安全漏洞，前后端分離，技術(shù)早已落伍。

上述人士告訴騰訊財(cái)經(jīng)，目前Java開(kāi)發(fā)的主流框架是mvc，包括各個(gè)公司在自己的基礎(chǔ)上開(kāi)發(fā)的自定義框架。

有什么風(fēng)險(xiǎn)？

針對(duì)“框架風(fēng)險(xiǎn)是對(duì)系統(tǒng)安全的威脅”這一話題，某互聯(lián)網(wǎng)上市公司程序開(kāi)發(fā)人員告訴騰訊財(cái)經(jīng)：“框架就像一個(gè)柜子，大綱已經(jīng)有了，層層怎么劃分，怎么劃分？放不放是你的事，你說(shuō)了算。隔間、東西的擺放都是小問(wèn)題，但框架出了問(wèn)題，影響才是根本?！?/p>

他提到，類似于2013年出現(xiàn)的高危漏洞，如果框架本身的安全性出現(xiàn)問(wèn)題，系統(tǒng)極易受到攻擊，所以往往有財(cái)力有能力的人自己創(chuàng)建框架。

“但很多程序員面臨的問(wèn)題是，騰云網(wǎng)絡(luò)需要快速迭代，明天產(chǎn)品上線，今天還要寫(xiě)框架，費(fèi)時(shí)費(fèi)力，干脆就靠開(kāi)源框架吧?！?他說(shuō)。

據(jù)他介紹，最初有2名官員就該框架可能存在的安全漏洞發(fā)表了聲明。開(kāi)發(fā)者在使用該框架編寫(xiě)代碼時(shí)，需要進(jìn)行必要的安全處理。

安全漏洞的官方提示

例如，當(dāng)出現(xiàn)漏洞時(shí)，會(huì)提示用戶升級(jí)網(wǎng)站開(kāi)發(fā)，但如果暫時(shí)無(wú)法升級(jí)，系統(tǒng)會(huì)發(fā)出安全級(jí)別最高為“重要”或“極其重要”的提醒，并附上相應(yīng)的解決方案。

最高安全級(jí)別很重要

相應(yīng)的解決方案

所有開(kāi)發(fā)者必讀，安全級(jí)別最高的“極其重要”的安全提示

“就好像有人告訴你冬天容易感冒，要多穿衣服。但如果你還是少穿衣服，不采取這種安全措施，那就不能怪別人了?！崩洹！?上述開(kāi)發(fā)商說(shuō)。

據(jù)了解，2013年7月之前，2中存在兩個(gè)高危漏洞網(wǎng)站模板，讓黑客獲得了網(wǎng)站服務(wù)器的“最高權(quán)限”，從而讓企業(yè)服務(wù)器成為黑客手中的“肉雞”。據(jù)媒體報(bào)道，當(dāng)時(shí)有70%的大型互聯(lián)網(wǎng)騰云網(wǎng)絡(luò)和政府機(jī)構(gòu)受此漏洞影響。

之前金融銀行網(wǎng)站受災(zāi)最嚴(yán)重

對(duì)于目前框架的應(yīng)用現(xiàn)狀，上述螞蟻金服的開(kāi)發(fā)者告訴騰訊財(cái)經(jīng)，目前還在使用的騰云網(wǎng)絡(luò)不在少數(shù)，大部分由于技術(shù)惰性，不愿對(duì)原本可用的技術(shù)方案進(jìn)行改進(jìn)。

“早期是Java后端開(kāi)發(fā)非常成熟的解決方案郵件系統(tǒng) 開(kāi)源php，被廣泛采用。后來(lái)，很多問(wèn)題和漏洞陸續(xù)爆發(fā)。但是，企業(yè)需要更換整體框架，無(wú)論是在“在技術(shù)或操作層面，存在很多問(wèn)題。阻力，”他說(shuō)。

五云平臺(tái)漏洞報(bào)告顯示，2013年高危漏洞出現(xiàn)后，淘寶、京東等互聯(lián)網(wǎng)大廠受此影響，漏洞利用代碼得到加強(qiáng)，允許用戶對(duì)服務(wù)器進(jìn)行任意操作通過(guò)瀏覽器提交直接獲取敏感內(nèi)容。

同時(shí)，該漏洞影響巨大，受影響站點(diǎn)多為電商、銀行、門(mén)戶網(wǎng)站、政府等。其中，金融、銀行類網(wǎng)站成為該漏洞的重災(zāi)區(qū)。

對(duì)此，上述人士認(rèn)為，在框架暴露出大量漏洞并逐漸被新技術(shù)取代后，由于技術(shù)反應(yīng)遲緩郵件系統(tǒng) 開(kāi)源php，不少銀行機(jī)構(gòu)仍在使用該技術(shù)。“早期的網(wǎng)銀優(yōu)盾等方式通過(guò)設(shè)置更多人為的障礙來(lái)降低安全風(fēng)險(xiǎn)。在銀行之外，京東允許用戶修改密碼，實(shí)際上并不能避免用戶信息泄露，只能說(shuō)加強(qiáng)對(duì)密碼的保護(hù)。保護(hù)?！?/p>

據(jù)《財(cái)經(jīng)》援引一位業(yè)內(nèi)人士的話說(shuō)，京東泄露的數(shù)據(jù)已經(jīng)被多次出售，“至少有數(shù)百家黑產(chǎn)商掌握了數(shù)據(jù)”。

某互聯(lián)網(wǎng)公司旗下電商平臺(tái)技術(shù)人員告訴騰訊財(cái)經(jīng)，已經(jīng)流傳的信息可能存在窺探其他數(shù)據(jù)的可能。這是因?yàn)楹谏a(chǎn)者可以利用它來(lái)進(jìn)行進(jìn)一步的“撞庫(kù)”操作。

崩潰填充是指黑客在互聯(lián)網(wǎng)上收集泄露的用戶和密碼信息，生成相應(yīng)的字典表，并嘗試批量登錄其他網(wǎng)站，獲取一系列可以登錄的用戶信息。

據(jù)他介紹，一般情況下，系統(tǒng)在數(shù)據(jù)庫(kù)中存儲(chǔ)用戶密碼時(shí)，并不會(huì)存儲(chǔ)密碼的原始文本，而是存儲(chǔ)經(jīng)過(guò)MD5、Sha1等加密后的數(shù)據(jù)。如果密碼的加密字符串為得到，反編譯得到密碼原文。

“加密后，破解密碼往往需要很長(zhǎng)時(shí)間。但如果密碼在數(shù)據(jù)庫(kù)中已經(jīng)被解密，與新密碼相比，黑客往往可以瞬間破解。” 那人說(shuō)。

據(jù)了解。很多用戶在不同的網(wǎng)站使用相同的賬號(hào)和密碼，黑客可以通過(guò)獲取用戶在A網(wǎng)站的賬號(hào)來(lái)嘗試登錄B網(wǎng)站。