這個周末最熱的新聞事件之一，莫過于所謂某小學的霸凌事件以及后續的發酵。不過與此同時，一樁所謂「京東數據疑似外泄」的消息，也著實博得了很多關注。

沒辦法，誰讓咱們大家都是京東的客戶呢?

于是大伙兒紛紛登陸自己的京東賬號，一番查驗下來發現并無問題。至少到本文發布之際，尚無證據顯示由于本次的數據泄露而導致的財物損失。

那么我們再來回溯一下事件由來。

蠢萌的事件源頭

此前的消息稱，「一個12G的數據包開始流通，其中包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度，數據多達數千萬條」……

據說，買賣雙方均聲稱數據包來自京東。信息的一番流傳之后，數據包也身價倍增，價格被定為10萬-70萬之間不等。

第一時間查驗了自己的京東賬號無虞之后，第二時間我就聯系到安全圈內的某位牛人。(抱歉我還未能做到先人后己，以后努力，☹)

大咖表示，這個12G的數據包在圈里流傳一段時間了，其起源應該是2013年Struts 2漏洞事件——那應該幾乎可以算是互聯網領域最大的一次漏洞攻擊，國內幾乎所有的互聯網公司，以及大型銀行、政府機構都受到波及，企業的規模越大，影響的程度也可能更高。

Struts是Apache基金會的一個開源項目，廣泛應用于大型互聯網企業、政府、金融機構等網站建設，并作為網站開發的底層模板使用。

2013年，包括烏云平臺等在內的漏洞報告，Struts 2安全漏洞可以讓黑客可直接通過瀏覽器對服務器進行任意操作，并獲取敏感內容(譬如抓取用戶數據信息)。

結果呢也不知是怎么想的，蠢萌的Struts官方居然在自己的漏洞公告中直接把漏洞利用代碼給貼出來了。這樣做的結果是，大批沒有技術能力的外行，也可以借助傻瓜化的工具對專業網站進行數據的盜取。

此前多年里，安全圈默認的行規是「提示漏洞存在，但只公布描述，不公布細節」，就是害怕漏洞細節被黑客看到后，直接利用漏洞攻擊用戶，結果Struts官方一舉突破了行規底線，從而極大地放大了那次Struts 2事件的后果。

為啥京東成為背鍋俠?

該大咖認為，這個12G的數據包不能肯定是來自京東，但是也不能否認有這種可能。畢竟在2013年的那次漏洞事件中，不僅京東，國內的BAT等互聯網公司乃至銀行和政府機構，也同樣是受害者。

不過，將數據包打上「京東」的標簽，畢竟是個大大的加分項，因為京東客戶的價值確實超乎同行。試想一下，將這個數據包標記為其他公司的話，不光會貶值不少，甚至有賣不出去的可能。

大咖認為還會有這樣的可能，將一部分京東的陳舊數據，與其他來源的數據混在一起，這也是「數據黑道產業」的慣常做法，算是對其他數據的某種「增值」。

「當然不值那個價!」被問及該數據包值不值10萬時，大咖脫口而出。

在他看來，當年的Struts 2事件之后，包括京東在內的諸多公司和機構已經采取了措施加以預防，譬如用戶再登陸會被提示更改密碼，否則不予以通行。

那些黏性高、活躍度高的老用戶，早在兩年前事發之初就修改了密碼。至于Struts 2事件之后的注冊用戶，他們根本不會遭遇到類似問題的襲擾。

遠離數據殘渣

那么，是不是說就不會有用戶受到影響呢?

其實也不是。大咖仍以京東為例，假如有用戶自兩年前Struts 2事發至今，從來沒有登錄過京東賬號，沒有進行密碼的修改，那么他的賬戶安全必然面臨威脅。

然而問題是，兩年從未登錄的賬戶能有多少?這樣的賬戶會有多少價值呢?我們不難判斷。

黑色產業中的數據銷售方，絕對不會將對他們仍然具有「剩余價值」的數據外銷，大咖告訴我們。

在數據外泄后，各種黑客會登錄賬戶將有價值的內容清洗一遍，這個過程短則幾個月，長的話可能超過一年以上。

接下來，黑客們會將從A網站得到的數據，用于登陸B網站，這也就是所謂的「撞庫」，通過一系列的技術手段和黑色產業鏈，將有價值的用戶數據變成現金或其他，以達到非法獲利的目的。

該大咖認為，2013年的Struts 2事件至今，歷時已三年有余，看來黑色產業已經將那次的戰利品價值搜刮殆盡，現在到了讓數據殘渣變現的時候了。對那些意欲本次購買數據源的方面來說，拋去法律問題(注切不要以身試法)，這個時候接盤只能說是不智。

當年的Struts 2事件之后，微信公眾號《道哥的黑板報》就曾經預言：「在接下來的一兩年中，大家又會多接到很多騷擾電話和騷擾短信，有針對性的詐騙案件也會上升。」

或許，現在就到了這樣一個時候。

胖頭陀的貼士

盡管我認為，此次的所謂數據外泄事件帶來的危險可能并不大，不過出于安全考慮，還是在這里小小貼士一下。

♡ 強烈建議在涉及到財產的電商、支付類系統中使用獨特的用戶名和密碼，避免被撞庫攻擊的風險;

♡ 不要把敏感信息如銀行卡、身份證等信息隨意暴露在網上，尤其是現在的社交網站，注意個人信息的安全。

♡ 注意保護個人電腦、手機等信息終端的信息安全，不要讓病毒入侵、植入木馬等。

♡ 注意甄別網絡安全，不要被各類虛假信息迷惑，進入釣魚網站;

♡ 對于打著電商客戶名義而來的電話、QQ應該格外小心，避免點擊通過即時通訊軟件發過來的所謂退貨、用戶中心網址。

京東的警示

針對本次的疑似數據外泄事件，京東方面也是高度重視，他們確認本次的數據源于2013年Struts 2的安全漏洞問題，并提醒用戶：

♢ 京東7x24小時全天候客服電話400-606-5500只用于接聽客戶來電，進行外呼業務時不會顯示400-606-5500、+400-606-5500、861400-606-5500、或手機號碼 ，更不會以QQ方式與用戶溝通;

♢ 京東工作人員從未引導消費者進行ATM轉賬;從未以消費者中獎為由，收取所謂的郵寄費、過關費等;從未以電話、咚咚、QQ等工具推銷過任何形式的打折卡、貴賓卡;也從未以訂單無效需為消費者退款為由主動索取消費者銀行卡信息。

♢ 如有任何組織或個人以京東名義通過電話 、咚咚、QQ等聊天工具向客戶收取前述費用或者推銷打折卡、貴賓卡的，或者使用各種即時通訊工具發送商品需重新支付或退款的鏈接的，均屬詐騙行為。客戶若遇到類似情況，可及時反饋京東客服人員;若因此遭受損失，京東建議客戶及時報警，并通知京東客戶服務人員。

♢ 京東將積極配合相關部門對此類行為進行調查處理，并盡一切努力，協助客戶維護合法權益，京東保留追究相關違 法人員法律責任的一切權利。

另外，京東特別提醒消費者，有關京東的客服電話，請以京東平臺網站公布的信息為準，謹防上當受騙。

【本文為51CTO專欄“胖頭陀”原創稿件，轉載請聯系原作者(微信號：it-observer)】