标题: [电脑] 我勒个去。。。这要命了，京东数据疑似外泄：超过12个G 涉及数千万用户 [打印本页]

---

作者: 燕市游徒    时间: 2016-12-11 00:00     标题: 我勒个去。。。这要命了，京东数据疑似外泄：超过12个G 涉及数千万用户

http://m.10jqka.com.cn/20161210/c595448618.shtml

京东数据疑似外泄：超过12个G 涉及数千万用户
2016-12-10 21:43:28 一本财经


　　最近，黑市上出现重磅“炸弹”，一个12G的数据包开始流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。

　　而黑市买卖双方皆称，这些数据来自京东。

　　京东方对此表示，正在紧急核实数据真伪。

　　01数据之迷

　　最近，因为这12G的数据包，黑产再次被搅动。

　　一些地下渠道，开始对数据进行明码标价交易，价格从“10万到70

　　据业内人士称，数据已被销售多次，“至少有上百个黑产者手里掌握了数据”。




　▲ 数据分为几个维度：姓名、密码、邮箱、QQ、身份证、电话等

　　据业内人士称，数据已被销售多次，“至少有上百个黑产者手里掌握了数据”。

　　“数据外泄的时间已比较长了，至于为何现在又流通，原因未明，”业内人士透露，暂且很难确认是“内鬼”还是“黑客盗取”。

　　业内人士称，大部分数据外泄后，黑客会先进行洗库，登录账户将有价值的内容清洗一遍，比如登录游戏账户，将虚拟币转走。一般这个清洗过程，需要几个月甚至更长时间。

　　第二次“洗库”，才会将数据出售，“数据价值榨取殆尽了，再给市面上的人来分渣”。

　　值得注意的是，这些数据的用户密码都进行过MD5加密，要通过专业破解软件，才能得到原密码。

　　业内人士称，一般MD5破解需要一定时间，但有些密码在数据库中已被其他人解密过，能瞬间破解，比如123456；如果是一个新密码，破解时间就较长。

　　可瞬间破解的账号，一般只占3-5%。

　　记者尝试根据部分用户名和破解的密码登陆，确实大部分可登陆京东账户。



　　▲ 姚鑫的密码就可瞬间破解(设计一个复杂密码是多么重要)

　　登陆之后，用户在京东上的订单、地址、交易等信息都一览无遗。

　　甚至一本财经记者从数据库中搜索自己名字，发现信息也早已外泄。

　　“黑客拿到这些数据，还可进行撞库操作”，业内人士称。

　　所谓“撞库”，是一个黑产的专业术语。

　　就是黑客会通过已泄露的用户名和密码，尝试批量登录其他网站，获取数据。

　　这就是人类设计密码的缺陷，大部分人为了记得住，都会用同一个用户名和密码，导致撞库成功率极高。

　　伤害值最高最直接的，就是撞进一些金融账户，直接将资金转走。

　　12月9日，一本财经向京东核实相关情况。截止发稿前，京东给出的最新回应称，目前正在找技术部门紧急核实，暂时还无法确认数据真伪。

---

作者: jjx01    时间: 2016-12-11 00:02

那么，在哪里能搜索这个数据库里自己的信息呢

京东password居然还用md5这种10年前就不靠谱的加密方式……

[ 本帖最后由 jjx01 于 2016-12-11 00:04 编辑 ]

---

作者: rekoeition    时间: 2016-12-11 00:24

posted by wap, platform: SONY Xperia Z5 Premier
我的密码很复杂字母数字都有，也能破解开？

---

作者: lilu0    时间: 2016-12-11 00:46

posted by wap, platform: iPhone

引用:

原帖由 @jjx01  于 2016-12-11 00:02 发表
那么，在哪里能搜索这个数据库里自己的信息呢

京东password居然还用md5这种10年前就不靠谱的加密方式……

不用md5用什么？

---

作者: berserkme    时间: 2016-12-11 01:00

posted by wap, platform: Chrome
狗屎京东,我所有和钱有关的网站都是这个密码....

---

作者: birdie    时间: 2016-12-11 01:00

posted by wap, platform: Chrome

引用:

原帖由 @lilu0  于 2016-12-11 00:46 发表
不用md5用什么？

bcrypt, sha512，加salt

---

作者: bzjian    时间: 2016-12-11 01:13

已改密码，京东金融账户里一百多万，要死人。:D

---

作者: lilu0    时间: 2016-12-11 01:14

posted by wap, platform: iPhone

引用:

原帖由 @birdie  于 2016-12-11 01:00 发表
bcrypt, sha512，加salt

md5有什么憋端？旧用户能正常迁移到新算法上吗？

---

作者: birdie    时间: 2016-12-11 01:17

posted by wap, platform: Chrome

引用:

原帖由 @lilu0  于 2016-12-11 01:14 发表
md5有什么憋端？旧用户能正常迁移到新算法上吗？

md5就是算起来太快，特别容易撞。迁移不可能吧，最多让用户登录的时候强制改密码然后用新算法再算一次。

---

作者: 我爱回忆    时间: 2016-12-11 01:17

posted by wap, platform: iPhone
已改。。。操

---

作者: psklf    时间: 2016-12-11 01:20

posted by wap, platform: 红米Note3
完蛋啊。jd的密码在很多地方用 这下惨啦

---

作者: tainey    时间: 2016-12-11 03:55

posted by wap, platform: iPhone
刘强东我cnm

---

作者: tainey    时间: 2016-12-11 03:55

posted by wap, platform: iPhone
哦不对 我艹你奶茶妹

---

作者: hhhiro    时间: 2016-12-11 03:59

posted by wap, platform: iPhone
几年前就碰到过诈骗电话能清晰的掌握我所有订单信息包括配送时间，还可以用我账号取消订单。网上一查还不是个案。
这几年下来jd在网络安全方面还是一泡污。

---

作者: 毛皮摩擦橡胶棒    时间: 2016-12-11 03:59

posted by wap, platform: iPhone

引用:

原帖由 @birdie  于 2016-12-11 01:00 发表
bcrypt, sha512，加salt

为什么是加salt？而不是加sugar？

---

作者: segasnkps    时间: 2016-12-11 04:24

posted by wap, platform: Galaxy S7 Edge
垃圾狗东，害死人

---

作者: smokesnake    时间: 2016-12-11 06:04

posted by wap, platform: Android
幸亏我现在都是kaepass+各账户独立10位数字字母符号混合密码，只是手机号身份证啥的漏了真的很烦，各种诈骗搞到头上

---

作者: 香蕉一号    时间: 2016-12-11 06:16

posted by wap, platform: Chrome
我艹，现在改密码不晚吧？？

---

作者: aszx21    时间: 2016-12-11 07:30

posted by wap, platform: Galaxy S7 Edge
还是银行支付宝安全点

---

作者: Biohazard0    时间: 2016-12-11 07:39

反正还是先改一下

---

作者: Jillvalentine    时间: 2016-12-11 07:43

改了，这还得了。

---

作者: bigbigsmallstar    时间: 2016-12-11 07:51

posted by wap, platform: iPhone
卧槽，除了改登陆密码，支付密码还需要改吗？

---

作者: 冰yu    时间: 2016-12-11 08:26

posted by wap, platform: iPhone
每个账户转出10元黑客都发了

---

作者: 冰yu    时间: 2016-12-11 08:27

posted by wap, platform: iPhone
每个账户转出10元黑客都发了

---

作者: freez    时间: 2016-12-11 08:35

引用:

原帖由 毛皮摩擦橡胶棒 于 2016-12-11 03:59 发表
posted by wap, platform: iPhone
为什么是加salt？而不是加sugar？

Posted by: LGE Nexus 5
加盐是个加密中的固定说法，比如你的密码是1234，盐是jd，加盐就是把密码变成1j2d34之类的样子再算MD5，避免用户一个密码多处用被撞出来。
至于为什么叫加盐不叫加糖我还真没想过…  TGFC·NG

---

作者: richiter    时间: 2016-12-11 09:22

posted by wap, platform: iPhone
反正密码很复杂不可能撞，随意，不过应该不是真的

---

作者: mamania    时间: 2016-12-11 10:01

posted by wap, platform: Chrome
傻逼信系列。。。

---

作者: chainmart    时间: 2016-12-11 10:15

一改～

---

作者: 测试一下    时间: 2016-12-11 10:20

重点不是身份证号嘛？~

---

作者: jun4rui    时间: 2016-12-11 10:27

posted by wap, platform: Chrome

引用:

原帖由 @mamania  于 2016-12-10 14:01 发表
傻逼信系列。。。

京东已经承认了……

---

作者: 唐晓东    时间: 2016-12-11 10:31

我相信是真的，，黑客现在连银行系统都能黑进去，小小的京东算什么

所以最安全的还他妈的现金。

---

作者: daonciun    时间: 2016-12-11 10:32

posted by wap, platform: 小米 4
你国不奇怪

---

作者: mamania    时间: 2016-12-11 10:34

posted by wap, platform: Chrome

引用:

原帖由 @jun4rui  于 2016-12-11 10:27 发表
京东已经承认了……

喷了。。。自抽一下。。。

---

作者: damnsoul    时间: 2016-12-11 10:47

posted by wap, platform: iPhone

引用:

原帖由 @jun4rui  于 2016-12-11 10:27 发表
京东已经承认了……

有链接吗？

---

作者: 纣王    时间: 2016-12-11 10:54

posted by wap, platform: GALAXY NOTE II CDMA
这不是几年前就有过一次吗  还傻逼信

---

作者: jun4rui    时间: 2016-12-11 10:58

posted by wap, platform: Samsung

引用:

原帖由 @damnsoul  于 2016-12-10 14:47 发表
有链接吗？

京东官方微博上有声明啊

---

作者: 励志向上    时间: 2016-12-11 11:02

微博声明

---

作者: jun4rui    时间: 2016-12-11 11:03

posted by wap, platform: Samsung
我国哪个企业会注意安全啊，你们也太看得起京东了

---

作者: byemilan    时间: 2016-12-11 11:10

posted by wap, platform: Android
还是先改了吧，这太恐怖了，京东的密码是最主要的几个密码之一

---

作者: 如何    时间: 2016-12-11 11:22

posted by wap, platform: 小米 MI 2
支付密码也要改吗？

---

作者: bigbigsmallstar    时间: 2016-12-11 11:23

同问，支付密码也要改吗？

---

作者: giant    时间: 2016-12-11 11:27

posted by wap, platform: iPhone
怪不得去年就一直要我改密码，其实早卖了很久了，现在肯定卖了不知道多少次了

---

作者: fatehe    时间: 2016-12-11 11:34

posted by wap, platform: Android
卧槽，这还是个大企业吗

---

作者: jjx01    时间: 2016-12-11 11:47

系统有漏洞可以理解，然而从微博里看这个是2013年的老漏洞没补？
用户密码用md5加密这个就洗不干净了，128位AES加密应该是最基础的吧

[ 本帖最后由 jjx01 于 2016-12-11 11:49 编辑 ]

---

作者: 蚁力神    时间: 2016-12-11 12:13

posted by wap, platform: Android
还是没搞懂，比如我2012年用的密码A，2013到2014用的密码B，2015至今是密码C，我应该改哪个？但尼玛这几个都是支付宝神马的通用密码啊

---

作者: zdztony    时间: 2016-12-11 12:19

posted by wap, platform: Android
想多了。。实在不放心去京东金融里面买一个1.88保险，不就行了。

---

作者: hpl071dk    时间: 2016-12-11 12:29

posted by wap, platform: iPhone

引用:

原帖由 @蚁力神  于 2016-12-11 12:13 发表
还是没搞懂，比如我2012年用的密码A，2013到2014用的密码B，2015至今是密码C，我应该改哪个？但尼玛这几个都是支付宝神马的通用密码啊

别用通用密码，自己想个规则，不同网站的密码按这个规则来生成。

---

作者: jjx01    时间: 2016-12-11 14:08

[attach]892975[/attach]
last pass，生成安全密码

---

作者: mrzc    时间: 2016-12-11 16:46

posted by wap, platform: Android
去年就提醒过了，那时候就改了，估计这事其实已经
很久了。

---

作者: 一只纯猪头    时间: 2016-12-11 18:41

posted by wap, platform: iPhone

引用:

原帖由 @jjx01  于 2016-12-11 11:47 发表
系统有漏洞可以理解，然而从微博里看这个是2013年的老漏洞没补？
用户密码用md5加密这个就洗不干净了，128位AES加密应该是最基础的吧

AES你在瞎扯什么呐…

---

作者: plives    时间: 2016-12-11 18:55

假消息？网上没看到这个12g的文件啊

---

作者: klmnopq16    时间: 2016-12-11 20:19

一般这种事情普通人知道的时候已经是发生好久之后，不知道被卖了多少手了

---

作者: klmnopq16    时间: 2016-12-11 20:21

引用:

原帖由 klmnopq16 于 2016-12-11 20:19 发表
一般这种事情普通人知道的时候已经是发生好久之后，不知道被卖了多少手了

而且之前京东有一次要求改密码，这都好久之前了

---

作者: naughtyben    时间: 2016-12-11 22:39

posted by wap, platform: Galaxy S7 Edge
吓尿了，京东和京东金融的密码账号是共用的

---

作者: zzergs    时间: 2016-12-12 10:05

posted by wap, platform: Chrome
各位，关键不是要改京东密码啊，而是赶紧把其他网站的相同密码都改了
京东加密没加盐，请大家自己加。比如你一个通用密码abc123，在京东就abc123jd，在淘宝就abc123tb 这样好记又安全。

---

欢迎光临 TGFC Lifestyle (http://bbs.tgfcer.com/)

Powered by Discuz! 6.0.0