1、综述

　　如今，我们的社会正在从IT时代步入DT（DataTechnology）时代，数据将变成未来社会发展的驱动力量。正如马云在年国际大数据产业博览会上所阐述的，“数据将是未来的石油”。不管是消费者，还是企业，每天都在产生海量数据。然而，日趋严峻的安全问题不断威胁着这些数据。

　　近日来，“京东12G用户信息数据泄露”事件引起轩然大波。除了事件本身，事件背后隐藏的庞大数据买卖黑色产业链备受社会各界的高度 　　截止至12月12日，“京东数据泄露事件”相关新闻报道篇、论坛篇、微博篇、博客74篇、以及视频报道条。 　　

图1.“京东数据泄露”事件媒体报道情况

2、事件回顾

　　据“一本财经”12月10日晚报道，近期一个12G的数据包开始在黑市流通，包括用户名、密码、邮箱、QQ号、电话号码、身份证等信息，数据量多达数千万条。黑市买卖双方皆称，这些数据来自国内知名电商京东商城。

　　对此，京东方面于次日凌晨在其“京东黑板报” 　　

图2.京东就“数据泄露”事件作出回应

　　这并不是京东第一次发生此类大面积的数据泄露。年，京东就被曝出大量用户隐私信息泄露，多名用户被骗走金钱，总共损失数百万。直到一年后，京东才公布调查结果，称是因为“内鬼”，有3位京东的物流人员，通过物流流程，掌握了用户姓名、电话、地址、何时下单、所购货物等信息，总数据达到条。如今，泄露事件再发，几年前的数据泄露，为什么现在又在流通？业内人士透露，暂且很难确认是“内鬼”还是黑客盗取。

3、Struts2漏洞

　　Struts是Apache基金会赞助的一个开源项目，Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，作为网站开发的底层模板使用。

　　年7月17日，ApacheStruts2发布漏洞公告，称其Struts2Web应用框架存在一个可以远程执行任意命令的高危漏洞。据当时报道，Struts2漏洞直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司，国外包括苹果的开发者网站都被入侵，这与Struts官方不负责任的态度有很大关系。

　　Struts官方这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了，这是一种很罕见的做法。这种不负责任的做法很快带来了灾难性的后果！从很多年前起，安全行业里默认的行规是“提示漏洞存在，但只公布描述，不公布细节”。大多数安全公告连漏洞涉及的代码都不公布，更不会直接给出漏洞利用方法的。这样做的原因就是为了防止漏洞细节被黑客看到后，直接利用漏洞攻击用户。

　　Struts这个漏洞这次本来不会这么严重，曾经一些比这更严重的漏洞也没有造成这么恶劣的影响。但官方不负责任的披露了漏洞利用方法，首先就让这个漏洞被大面积利用成为可能。然后国内的黑客们看到后，在某社区里引起了热烈的讨论。接下来有不少黑客，利用官方给出的“帮助”，很轻松的就写出了自动利用的工具，并开始找网站漏洞。接下来有黑客们开始展开竞赛一般的“战果展示”，把存在漏洞的网站公布在第三方平台上，他们的战果丰硕，入侵了包括百度、腾讯、淘宝等在内的很多大网站，甚至是国家级的政府网站，并在微博上引发了不少大V对这个漏洞的讨论。因此，可以说3年前的这个黑客风暴，影响面之广，的确前所未有，但罪魁祸首，却是Struts自身。

4、庞大的黑色产业链

　　此次“京东12G数据泄露”事件表面看是一起恶劣的用户数据安全和隐私泄露问题，然而，事件背后却让越来越多的人意识到数据安全的重要性，并且揭露了数据贩卖产业链的黑幕。

4.1深挖价值，谋取私利

　　最近，社会各界打击电信诈骗和黑色产业链的力度不断加大，各大银行出台新规、多行业协调治理等措施接连推出，然而，电信诈骗、信息黑色产业链并未因此销声匿迹，这些“抢手”的数据到底有什么用，能创造多少价值呢？

　　对消费者来说，通过数据的记录，消费者可以知道自己一周花了多少钱，都用在哪里，哪些花费是合理的，哪些又是不合理的等等。然而这些信息对于消费者好像无足轻重，但实际上，对于企业来说，真正产生的价值往往就是意义看似孤立的个人信息。企业愿意投入大量成本去购买消费者的个人信息，积累用户的大量数据，根据这些信息挖掘真正符合市场需求的产品，同时实现精准营销，提高企业效益。

　　然而，当数据变得越来越有价值时，有些掌握数据的人或企业却会用它来谋取私利。据阿里巴巴发布的数据显示，中国网络黑色产业链的从业者已经超过40万人，依托其进行网络诈骗的人数至少有万，年产值超过亿元。在巨大利益驱使之下，涉及用户数据盗取、清洗、买卖等各个环节的完整产业链屡禁不止，并且公开贩卖账户信息越来越普遍。总之，数据的价值变得越来越重要，并且未来将成为人们的核心资产之一。

4.2意识淡薄、渠道多元

　　对于广大消费者，数据安全意识和隐私意识并不是很强。目前，大多数的数据泄露主要通过手机和电脑，人们在手机上会遭遇病毒、木马和恶意软件等，它们会隐藏在手机上，窃取你的关键信息。此外，随着网购的普及，快递也成为目前数据泄露的主要渠道之一，我们在收到快递后，快递上的个人用户信息依旧存在，上面包含个人姓名、地址、电话等极其重要的信息。另外，还有一种是数据泄漏，比如掌握大量用户数据的平台或企业，它们遭遇黑客攻击，从而导致用户数据被窃取。

　　现在，人们对未来充满无限期待，数据社会很快到来，我们会更加享受数据带来的好处，然而可怕的却是我们放松对数据的警惕。

4.3规模庞大、分工精细

　　随着互联网的普及，数据泄露已成为互联网安全问题发生的常态。据了解，在数据买卖这个黑色产业链中，有着精细复杂的分工。存在着数据提供方和数据中间商以及数据购买者三个环节。这些数据的来源分两种，一方面是黑客利用系统漏洞获取，另一方面是内鬼倒卖数据，年3·15前夕京东曝出来的泄露就是因为内部人员违规违法操作导致。

　　而数据的买方也目的不一。有一些同类业务平台，为了edm（电子邮件营销）推广更精准，购买这些泄露出来的用户数据；也有一些电信诈骗方会看中这些数据，从而冒充平台去欺骗消费者，因为能准确报出相关信息，消费者通常会降低警惕。

　　网络安全专家表示，数据可以按照其价值进行分类，需要经过层层过滤价值才有可能更大。包含了用户的支付信息、信用卡和银行账号信息的数据会更值钱。不论是互联网公司遭遇拖库还是撞库，个人隐私数据正面临越来越大的泄露风险。业内人士建议，个人在注册互联网服务时，不要填入过多的个人信息，也尽量不要把其他互联网服务账号设置为相同密码。

4.4精准定位、后果严重

　　个人隐私信息不仅仅是几组数据、几个姓名这样简单，这些信息与财产、人身安全有着紧密的联系。因掌握了精准的个人信息，不法分子可以有针对性地实施精准诈骗。准大学生徐玉玉受骗后昏厥抢救无效离世、山东临沂考生遭电信诈骗不幸离世、清华大学教师被骗万、广东准大学女生被骗后投海自尽等案例的出现表明，目标精准的电信诈骗已不仅仅威胁人们的财产安全。

　　警方介绍，仅年全国电信诈骗发案59万余起，涉案金额高达亿元。电信诈骗时常发生也常有人中招，其中关键则是个人信息泄露问题。个人信息的批量泄露、打包出售更使得精准诈骗成为新趋势。

　　由于没有门槛，贩卖个人信息的从业者与日俱增，他们开设各类“数据挖掘”“信息咨询”公司，专门从事信息倒卖，已形成“源头—中间商—非法使用人员”的交易模式，团队作案。中国互联网协会发布的《年中国网民权益保护调查报告》显示，年下半年至年上半年，55%的网民收到过诈骗信息，总体经济损失额高达亿元。

5、如何治理

?5.1“没有买卖就没有伤害”

　　从理论上来说，无论现实还是虚拟社会，没有%的安全可言。任何防御体系或密码都是可以被破解的，区别只是在于破解的难度、时间和效益。所以，信息安全并不是某一个企业或者组织的事，而是所有互联网产业的参与者都应该高度重视和防范的。

　　在打击非法获取和买卖数据黑产这件事上，安全专家表示，可以借鉴珍稀动物保护的一些措施，“没有买卖就没有伤害”，不应该只追究数据窃取和贩卖人员的法律责任，对于非法数据的购买者也应该进行严惩，从源头上对信息安全黑产链条上的偷窃者、贩卖者、购买者进行全方位精准打击。

　　现在不少用户还会认为，信息安全应该由互联网企业和网络警察来负责，这不关自己什么事，但事实上，用户的安全意识和使用习惯，对于信息安全也具有非常大的影响。现在很多用户在不同的网站使用同样的账号名和密码，其中一个被攻破，其它所有的账号难逃撞库攻击的风险；有些用户为了省事好记，用自己或家人的生日做密码，而生日之类的数据信息现在获取成本和难度都非常低，这也给不法分子提供了巨大的便利。

5.2多方协同

　　每一起通讯信息诈骗中，产业链上下游附着至少五个专业团伙：专门策划骗术、拨打电话的直接诈骗团伙；盗卖个人信息团伙；收集办理非实名电话卡、银行卡卖给诈骗分子的团伙；在互联网上搭建诈骗网络平台并与传统通讯网对接及提供任意改号、群呼服务和线路维护的技术支撑团伙；专门负责替若干个诈骗窝点转取赃款的洗钱团伙。

　　封堵信息泄露源头需要社会各个企业增强网络安全能力、完善个人信息长效保护机制，针对个人信息批量买卖处理更需要司法机关完善立法与惩戒机制。电话卡、银行卡的实名制办理也需要运行商与银行机构的清查与严格处理。同时，钓鱼网站、网络电话的安全也需要安全厂商与政府部门的通力合作，对于不良信息及时查封，并给予网民安全提示。

6、结语

　　真正的安全，来自于对危险的高度警惕，也来自于对危险行之有效的应对之法。索尼、微软、亚马逊、苹果、IBM等世界产业巨头，甚至是美国五角大楼，都前后出现过用户数据被黑客窃取事件，所以用户对于数据泄露应该有个成熟的心态，不能因为存在数据失窃隐患，就拒绝互联网的便利；而是应该借每一次信息安全事件的爆发，去正视制度和技术短板，真正解决信息安全的缺陷和问题。

　　京东数据泄露事件，目前来看真正受到影响的用户还非常有限，京东的处置也很高效透明，但Struts2这类的安全漏洞事件可能为整个中国互联网产业发展埋下了很多地雷，这需要用雷霆手段来对抗。打击数据盗窃、交易和消费的网络黑产已迫在眉睫，这既需要全社会、全行业握紧铁拳打击，也需要每一个互联网的使用者提高信息安全危机意识和防范水准，让不法分子无可乘之机。