来源:快乐加小微企业财税云管理平台 时间:2016-12-15 点击数:
最近黑市上出现重磅“炸弹”,一个12G的数据包开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。
随后京东做出回应,称这是源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。并且还特别强调,京东在Struts 2的安全问题发生后,就迅速完成了系统修复,同时针对可能存在信息安全风险的用户进行了安全升级提示,当时受此影响的绝大部分用户都对自己的账号进行了安全升级。
OK,首先为大家科普一下此次的官方唯一指定背锅侠Struts 2是什么鬼。
Struts是基于Java语言的一款开源框架,类似基于PHP语言的Yii和Laravel,攻击者可以利用该漏洞执行恶意java代码,最终导致网站数据被窃取、网页被篡改等严重后果,最终威胁到网站及网民的安全。
当时的Struts2出现的高危漏洞波及范围很广,国内很多知名网站在内的大量网站都受到了影响。京东此次也承认2013年Struts 2的安全漏洞问题是这次数据泄露的核心所在。那么,京东为何还要坚持使用此项技术呢?
所谓存在即合理。
不放弃Struts2产品自然是因为Struts2有其优势所在。Struts2采用的是开源框架,开源框架优势就在于不仅出框架,还能给出这个框架的搭建方法以及源码。在此基础上,任何人都可以根据需要更改框架。正因如此,Struts2得到了程序员的青睐,因为程序员可以利用这个开源框架大大提升工作效率。所以,如果要放弃该技术重新更换框架自然是相当耗时耗材耗力。
只是,如果是为了效率而放弃安全性,这是否也使舍本逐末了呢?
目前的电商平台,大多都针对购物开展了金融业务,例如蚂蚁花呗、京东白条等,这些业务大多是向消费者提供类似信用卡的服务,即平台给用户一定的额度,可进行分期购买商品,以达到刺激消费的作用。
正因如此,这些金融类账号与电商平台的普通购物账号有一定的关联性,不法分子利用这个漏洞盗刷额度的事件在各个平台都有出现,而盗取预消费额度确实也能够达到与直接盗取钱财相同的效果。
天天喊各种实名,信息安全意识和能力如此之烂,还是普通人遭殃。目前各种金融类产品层出不穷,如何让用户放心使用?
对于金融、财务相关的产品来说,哪怕是极少的风险也是不能容忍的。
对于企业来说,目前互联网创业形式严峻,获取用户日趋困难,一旦面临用户信息泄露,对公司可能是毁灭性打击。
快乐加财税云专为创业公司以及中小企业提供财务服务,不仅对客户的数据传输进行加密,而且采用阿里云对访问地址和数据库进行强制加密,同时为每一位用户都投了苏黎世保险,苏黎世保险专做数据安全,用户一旦出现信息泄露,快乐加将对每一位用户进行超额赔付。
归根结底,用户在你的网站上注册输入信息,是相信你的安全性。如果对用户信息没有恰当的保护,那么受威胁的不仅仅是你的网站安全,更是你所有用户的安全,这才是最值得警惕的。
共勉。
