魔都君:相信吗?你所有的隐私信息,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。
京东确认12G用户数据泄漏
12月10日晚间,国内媒体一本财经报道称一个超过12G的数据包正在黑市流通,数据包信息包括用户名、密码、真实姓名、身份证号、电话号码、QQ号、邮箱等多类个人用户信息。
目前,这个数据包已经在黑市上明码交易,价格在10万-70万不等,黑市买卖双方表示该数据包来源为京东。算下来,每一个用户的个人敏感信息平均只值 1 分钱。
11日凌晨,京东通过官方微信发表生命,确认数据包来源于京东。京东表示,该数据源于2013年Struts 2的安全漏洞。也就是说,黑客利用了Struts 2的漏洞对京东数据库进行了拖库。
经京东信息安全部门依据报道内容初步判断,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全,依然存在一定风险。
京东在此也强烈建议用户高度重视信息安全和隐私保护,在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码,开启手机验证和支付密码,并将登录密码和支付密码设为高强度的复杂密码,提高账户安全等级。
同时,针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为,京东已与警方建立了长效的合作机制,并将联合警方进行坚决的打击。
200元买你开房记录,700元买到你航班/定位/银行卡等10项信息
你所有的隐私信息,包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。
四大银行存款记录,手机实时定位,手机通话记录,他们也都能查到,而且声称7天×24小时不间断服务。
近日,南都记者在网上只花费700元就买到了同事的上述信息,更可怕的是,竟然有第三方软件为这样的服务提供担保,整个交易已跃升到了“平台化”的地步。
12月8日,南都记者以了解亲戚结婚对象为由,联系上一家名叫“××商贸”的服务商,工作人员介绍,只需提供身份证号码,即可查询包括开房记录、列车记录、航班记录、网吧记录、出境记录、入境记录、犯罪记录、住房记录、租房记录、银行记录、驾驶证记录等11个项目在内的材料,统称“身份证大轨迹”。
这一“全套服务”,收费仅850元。前述工作人员告诉南都记者,如果针对性地查询单个项目,则收费另计,“查个人征信费用是300元,查开房记录200元”;另外,查询单个项目,如开房记录可当天出结果,查“身份证大轨迹”全套则要等到第二天。
随后,南都记者经同事授权,提供了其姓名和身份证号码。上述工作人员称查询户籍所在省的开房记录,价格是200元,查询全国范围内的开房记录,价格则是300元,并可在当晚12点前出结果,不过要先微信转账。之后,南都记者按其要求支付款项300元,该工作人员请记者耐心等待结果。
9日晚7时,对方向南都记者发来了同事的开房记录的整体截图——
截图显示,同事最早一次开房是在2011年8月10日21时48分,入住宾馆是西安市新城区安馨宾馆,房号为310房间,并可查到同住人员。南都记者询问查同住宿人员如何收费,其表示“单独查一个同住要600”。该同事证实,他确曾在2011年高考结束后和家人同游西安入住宾馆。
此外,其还单发了一张今年10月30日最后一次开房的记录截图。
最后一次开房的记录截图是一张蓝底图片,左边是身份证照片,中间一列自上往下是旅客编号、民族、出生日期、证件号码、住址详址、入住房号、旅馆编码和旅馆地址,右边一列自上往下则是姓名、性别、证件类型、住址省市区、入住时间、退房时间、旅馆名称和旅馆地址区划。每一次开房记录,都可把入住时间精确到了×时×分×秒。
南都记者决定再换个同事的手机号码,查一下其手机定位情况,前述工作人员表示仅可查询联通号码的手机定位,查询时间为半小时,收费是600元。
南都记者提供手机号码并付款半个多小时之后,对方发来了定位信息的图片,内含地图、经纬度信息(精确到小数点后六位),与记者同事所在的位置完全一致。
另一个“全国人口基础信息—×××”文档中则是火车记录、航班记录、银行开户核查记录、驾驶证记录、驾驶证违章记录、机动车登记记录等。
南都记者又询问通话记录查询的价格,其称仅可查询联通手机号码的通话记录,价格为1500元,定位价格是600元。
前述工作人员称,还可查询四大银行的存款余额,每查一个银行是600元,提供身份证号码即可查询,但查询结果要两天后才能给出。
之后,南都记者决定再换一个同事购买“身份证大轨迹”,几经讨价还价,将价格谈到了700元。在转账完成的一天后,对方发来了两个EXCEL文档,里面包含了该同事10种记录在内的身份证大轨迹。
(注:“身份证大轨迹”一般可查11项,记者收到其中6项,因被查询人的“房产信息”“犯罪信息”“出境信息”“入境信息”“租房信息”等5项均为“无”;此外,除了常规11项,还附加了常住人口信息、暂住人口信息、机动车登记记录和驾驶证违章等4项)
南都记者看到,一个名为“分布式查询”的文档里,记录了该同事自2011年4月以来的旅馆住宿记录、常住人口记录、暂住人口记录和网吧上网记录。
八成网民遭到过信息泄露,用户信息泄漏途径有哪些
11月21日发布的《中国个人信息安全和隐私保护报告》称,在报告抽取104.86万份调查问卷为样本中显示:
超七成参与调研者认为个人信息泄露问题严重。26%的人每天收到2~3条甚至更多的垃圾短信;20%的人每天收到2~3个甚至更多的骚扰电话。
同时,多达81%的参与调研者经历过对方知道自己的姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰。
公司内鬼泄密
早在2015年,京东就曾经被爆出有大量用户隐私信息被泄漏,甚至造成了用户金钱被盗取,金额高达数百万。
京东当时最早的回应是说数据泄漏是黑客利用市场上已泄漏的其他网站用户数据对京东数据库进行“撞库”,从而获得了部分京东用户信息数据。
但在一年后,京东公布了数据泄漏事件的调查结果,2015年的用户信息泄漏并非“撞库”,而是信息数据泄漏另一种最常见的方式,内部人员售卖。
京东调查结果显示,2015年的用户数据泄漏罪魁祸首是京东物流的3名员工,根据法院文件显示,三人共泄漏数据9313条,最高价格仅1.5元/条,泄漏的用户数据包括用户姓名、电话、地址、何时下单、所购货物等信息。
不仅是京东,支付宝早在2014年就被爆20G用户资料泄漏,同样是内部员工售卖,是支付宝技术员工利用职务之便,在公司后台下载了用户信息数据,包括用户实名、手机、电子邮箱、家庭住址、消费记录等。
黑客入侵
用户数据泄漏的途径有很多种,除了内鬼,京东此次数据泄漏属于被黑客利用漏洞直接攻击窃取。今年山东大学生遭遇诈骗致死案件中,大学生徐玉玉的信息数据也是属于此类泄漏方式,山东高考信息系统存在漏洞,被不法分子利用窃取了数据,然后售卖给诈骗分子,最终诈骗分子利用徐玉玉的个人信息,针对徐玉玉人群设计了诈骗方案,最终酿成悲剧。
2014年,乌云漏洞平台曾爆出携程网大量用户银行卡信息泄漏,也是数据黑客利用技术漏洞攻击网站获得,泄漏的银行卡用户信息包括:持卡人姓名、身份证号、卡号、卡CVV码(即卡号、有效期和服务约束性代码生成的3位/4位数字)以及6位的卡Bin码(即用于支付的6位数字)等。
普通用户 如何补救、避免?
如果你怀疑自己的数据属于被泄漏,那么,你要跑赢骗子!以下是公众号47号(作者:魏一白)整理的攻略:
现在、立刻、马上、首先、第一个要做的事情是改密码。修改的不仅仅是京东的账号密码,微信、微博、QQ,所有日常使用的网络服务密码统一修改一遍,尤其是那些使用了和你身份证号、姓名有相关的密码,请一定修改成不相关的密码。否则,黑客还是可能会利用你的个人信息进行暴力破解。
如果你确定自己不在这次泄漏信息之中,那么恭喜你,但也请你定期更新密码,因为,你以为安全的未必就是安全的。
关于使用的密码,有几点建议:
长,长总归是好的,你输入有点费劲,别人破解也比较费劲;
复杂,123456789abcdefg虽然很长,但是……基础建议:大小写字母+数字=16位密码。升级版:大小写字幕+数字+标点符号。
多,别所有账号都用一个密码,如果觉得记不住,教个简单的方式,相关性:密码1是47haoShiyanshi,密码2可以是69ibpTijzbotij。还不行,那我只能说,脑子是个好东西。
养成良好的上网习惯之一,虽然很多人有“杀毒软件无用论”,但那是针对有非常良好网络使用习惯的人的,比如我,如果你辨别不出ta0bao.com和taobao.com的区别,还是尽量使用安全软件的比较好。
养成良好的上网习惯之二,不要到哪都找WIFI,尤其是没有密码的共享WiFi。
养成良好的习惯之三,多读书,少上网。
声明:本文由魔都君(微信modujun001)编辑整理,部分资料来自公众号一本财经、京东黑板报、47号、南方都市报。转载请保留此信息。
添加魔都君微信modujun001,备注姓名-公司-职能,加入上海最大创投社群魔都创投圈,进圈可与魔都君交流创业投资相关话题:(进圈请将群名片改为:姓名-公司-职能)
声明:鸵鸟电台所有发布内容均为原创或授权发布,如需转载请务必注明文章作者以及来源:鸵鸟电台;任何不尊重原创的行为鸵鸟电台都将进行责任追究;求报道、谈合作请添加“17098041937”为微信好友。
