【原】深度︱还原12G数据泄露真相

应该如何客观和平静的看待昨天流传的所谓12G数据泄露事件？

第一，并不存在的数据之谜。一份2013年因为Struts官方披露导致的数据流失，尽管涉及到国内的很多银行、政府机构、几乎所有的大中型互联网公司，但事实证明，三年当中并没有因此发生过真正的恶性事件。相比于电信诈骗的等网络黑产重灾区，几乎损失寥寥。
 
第二，电商虽然跟金钱挂钩最紧密，但也是安全防护措施最严格的互联网平台。我们从这几年著名的大型信息泄露事件来分析，不难发现，无论是苹果icloud的账户泄露，导致多位被骗女生死亡的电信诈骗，大麦网的撞库事件，或者去年的考研用户信息泄露，这些国内外主要的网络安全案例，极少出现在电商平台。

所以，我们不难得出结论，任何一个数据泄露的传言背后，可怕的力量并不是事件本身，而是对事件的不了解，所带来的盲目恐慌。这件事的本质，到底要怎么看？

一份陈旧的数据 影响力可以忽略不计

针对12月10日，有关疑似京东数据外泄的消息。京东的回应是：经京东信息安全部门依据报道内容初步判断，该数据源于2013年Struts 2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响，导致大量数据泄露。京东在Struts 2的安全问题发生后，就迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。

简单来了解一下2013年发生的著名的Struts事件。我们知道，安全行业里默认的行规是“提示漏洞存在，但只公布描述，不公布细节”。大多数安全公告连漏洞涉及的代码都不公布，更遑论直接给出漏洞利用方法的。这样做的原因就是为了防止漏洞细节被黑客看到后，直接利用漏洞攻击用户。

荒谬的是，在2013年，Struts官方的一次错误决定，制造了当年国际网络安全最大的一次事故：Struts官方在自己的官网网站上公布了其发现的高危漏洞，并不负责任的披露了漏洞利用方法，导致这个漏洞在黑客社区里引起了热烈的讨论，并迅速演变成了黑客的竞赛。从而造成了包括苹果的开发者网站在内的，政府、银行、互联网公司集体性的信息泄露。

但是，这个事件属于标准的影响面很大，但却伤害较小。因为漏洞的被公开，整个中国互联网可谓无一幸免，不过在黑客的竞赛之后，也因为Struts的公开性，各大网站和机构及时进行了补救措施。3年来，并未因此产生过真正的恶性攻击事件。

所以，我认为，这份“陈旧”的数据，即便今天再次被翻了出来，影响力几乎可以忽略不计。

一方面，很多用户的信息都已经改变了，另一方面，京东已经对风险客户采取了安全措施，一般而言，就是要求这些用户登录后迅速进行手机验证，并更换密码，避免账号被黑客攻破的可能性。同时，加入网站的风险账户库，也就意味着这些账户的登录等行为都会受到严格监控和限制，让黑客无法为所欲为。

再次审视DM5算法和撞库还原

一些文章中提到了当下最流行的MD5安全算法，并说要通过专业破解软件，就能得到原密码。可是，这种说法是不负责任的。

事实上，MD5是目前计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。要强调的是：第一，目前没有软件能有效地破解MD5。大多数时候只是把常见字符串的 MD5 存了起来为彩虹表，然后直接反查；第二，MD5 只是哈希，而不是加密。MD5 的破解绝对是专业级的，因为一个 MD5 可能对应无数种可能的明文。

当然，这里要提醒的是，密码的设置不要过于简单，这就容易被进行反推。比如123456对应的MD5字符串是：49ba59abbe56e057。这些非常简单的排列，极有可能被黑客利用其作为反推攻破。

所以说，网络安全就是与黑客持续对抗的过程，但前提是，用户也有一定基本的常识，一方面杜绝非常简单的密码组合，其次尽量不要在重要的网站上使用重复的密码，这样容易被撞库。

那么，再来简单了解一下撞库，这是一种针对数据库的攻击方式，方法是通过攻击者所拥有的数据库的数据通攻击目标数据库。可以理解为，在黑客攻不破B网站的情况下，只需要攻破安全性差的A网站，然后用账号来推测获取B网站账户密码，因为很多用户在不同网站使用的是相同的账号密码。

比如，一些中小网站用户账户以及密码容易受到黑客扫号攻击。因为这些网站的安全防护能力较弱，黑客很容易通过技术手段，通过网站的漏洞窃取完整的数据库，或是通过利用社会工程，对企业内部人员进行钓鱼，以达到获取数据库的目的，俗称“拖库”。并最终达到获取重要网站信息的目的。

因此，为什么某些2013年因Struts事件泄漏的信息，还有极小部分能够登陆，其中的原因也有因使用重复密码被撞库的成分在，而并非是因为一家电商平台的信息丢失所导致的。换句话说，我认为这绝对不是一份2013年泄漏的原始数据库，而是打着Struts的旗号，通过各种撞库手段和二次收集处理过的数据。

信息安全，人人有责

我们发现，任何数据的泄露都不是一个孤立的事件。这要身在产业链中的每一分子都能贡献自己的力量。

首先，法律法规正在更加严格为信息盗窃和买卖定性，我国刑法规定，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”互联网公司也在积极配合政府打击黑产。例如，京东就在配合相关部门对此类行为进行调查处理，并尽一切努力，协助客户维护合法权益，京东保留追究相关违法人员法律责任的一切权利。

其次，作为互联网公司本身，要从技术上加强对信息安全的管理。以京东为例，京东一直采用加密方式存储用户密码等信息，而且不断提升加密手段，绝大部分数据就是黑客拿到也没有办法加以利用，既无法登录京东账户，也无法拿去其他网站撞库；另外，京东对用户信息从存储、传输、展示三方面都进行了妥善的安全处理，例如，黑客即使进入一个京东账户，也无法看到完整的敏感信息，保护用户利益不被侵害。

第三，用户应该时刻保持对信息安全的警惕之心。像京东这样的电商平台，早已经明确：不会通过电话 、咚咚、QQ等聊天工具向客户收取前述费用或者推销打折卡、贵宾卡的，或者使用各种即时通讯工具发送商品需重新支付或退款的链接。用户自身也要加强信息安全防范意识，不使用简单、重复的密码，不轻易在社交媒体上泄露个人重要信息。

总的来说，互联网安全，人人有责。我们所要做到的就是保持一份谨慎的心态，不轻易泄露个人信息，相信互联网公司的安全防护能力，相信邪不能胜正，还互联网一片净土。

文/郑凯

科技正能量，推动新科技

合作请联系

微信:zhengkai9979；QQ:24401313

......