文/张勤

针对网上传出的京东12G用户数据泄露事件，12月11日，京东方独家回应腾讯财经称，该数据源于2013年的一次安全漏洞。目前，京东仍有“非常罕见的”系统使用框架，但已适当升级，“目前没有安全问题”。

12月11日，自媒体《一财经》报道，近日黑市流传了一个京东12G流量包，包括用户名、密码、邮箱、QQ号、电话号码、身份证等维度. 高达数千万。随后，部分京东用户也反映，其京东白条近期被盗。

京东回应称，根据信息安全部门初步判断，该数据来源于此前的“2013年2月的安全漏洞”。导致大规模数据泄露。

12月11日，京东方向腾讯财经表示，2次安全问题发生后，京东已完成系统修复，对可能受到安全威胁的用户账户进行分析，对安全系统进行升级，并提醒存在风险的用户升级安全措施。目前京东还有少数系统应用了该框架，但使用范围主要在腾云网络内部。

但京东并未正面回应为何最近发现2013年系统漏洞泄露用户信息。京东表示，在未获得自媒体报道的数据库前，无法给出更详细的信息。

它是什么

是基金会的开源项目，广泛应用于大型互联网公司、政府、金融机构等网站建设，作为网站开发的底层模板。

2是下一代产品，是在先进技术的基础上融合形成的新架构。

2013年7月17日，高危漏洞出现。包括国内众多知名网站在内的大量网站都不同程度地受到该漏洞的影响。攻击者可利用该漏洞执行恶意java代码，最终导致网站数据被盗、网页被篡改等严重后果，对网站和网民的安全造成极大威胁。

国内某大型互联网公司技术开发人员告诉腾讯财经，它是一个基于Java语言的开源框架，类似Yii和PHP基于PHP语言。

”前人在使用基础语言操作时发现了共性，然后将基础内容提炼出来，于是就有了框架。开源框架指的不仅仅是给你框架，还有框架的构建方法，还有作为源代码。我会把它给你。” 上述开发者告诉腾讯财经，在此基础上，任何人都可以根据需要更改框架，甚至在过程中发现框架的不足和漏洞。

该人士提到，Java语言的开发效率低于PHP，但运行速度优于后者，相对更适合项目较大的系统。国内电商平台普遍使用Java语言，如淘宝、京东等。

腾讯财经从蚂蚁金服开发负责人处了解到，虽然蚂蚁金服和阿里巴巴集团业务团队的开发语言基本都是基于JAVA，但很早就不再使用该框架。主要原因是框架本身存在安全漏洞，前后端分离，技术早已落伍。

上述人士告诉腾讯财经，目前Java开发的主流框架是mvc，包括各个公司在自己的基础上开发的自定义框架。

有什么风险？

针对“框架风险是对系统安全的威胁”这一话题，某互联网上市公司程序开发人员告诉腾讯财经：“框架就像一个柜子，大纲已经有了，层层怎么划分，怎么划分？放不放是你的事，你说了算。隔间、东西的摆放都是小问题，但框架出了问题，影响才是根本。”

他提到，类似于2013年出现的高危漏洞，如果框架本身的安全性出现问题，系统极易受到攻击，所以往往有财力有能力的人自己创建框架。

“但很多程序员面临的问题是，腾云网络需要快速迭代，明天产品上线，今天还要写框架，费时费力，干脆就靠开源框架吧。” 他说。

据他介绍，最初有2名官员就该框架可能存在的安全漏洞发表了声明。开发者在使用该框架编写代码时，需要进行必要的安全处理。

安全漏洞的官方提示

例如，当出现漏洞时，会提示用户升级网站开发，但如果暂时无法升级，系统会发出安全级别最高为“重要”或“极其重要”的提醒，并附上相应的解决方案。

最高安全级别很重要

相应的解决方案

所有开发者必读，安全级别最高的“极其重要”的安全提示

“就好像有人告诉你冬天容易感冒，要多穿衣服。但如果你还是少穿衣服，不采取这种安全措施，那就不能怪别人了。”冷。” 上述开发商说。

据了解，2013年7月之前，2中存在两个高危漏洞网站模板，让黑客获得了网站服务器的“最高权限”，从而让企业服务器成为黑客手中的“肉鸡”。据媒体报道，当时有70%的大型互联网腾云网络和政府机构受此漏洞影响。

之前金融银行网站受灾最严重

对于目前框架的应用现状，上述蚂蚁金服的开发者告诉腾讯财经，目前还在使用的腾云网络不在少数，大部分由于技术惰性，不愿对原本可用的技术方案进行改进。

“早期是Java后端开发非常成熟的解决方案邮件系统 开源php，被广泛采用。后来，很多问题和漏洞陆续爆发。但是，企业需要更换整体框架，无论是在“在技术或操作层面，存在很多问题。阻力，”他说。

五云平台漏洞报告显示，2013年高危漏洞出现后，淘宝、京东等互联网大厂受此影响，漏洞利用代码得到加强，允许用户对服务器进行任意操作通过浏览器提交直接获取敏感内容。

同时，该漏洞影响巨大，受影响站点多为电商、银行、门户网站、政府等。其中，金融、银行类网站成为该漏洞的重灾区。

对此，上述人士认为，在框架暴露出大量漏洞并逐渐被新技术取代后，由于技术反应迟缓邮件系统 开源php，不少银行机构仍在使用该技术。“早期的网银优盾等方式通过设置更多人为的障碍来降低安全风险。在银行之外，京东允许用户修改密码，实际上并不能避免用户信息泄露，只能说加强对密码的保护。保护。”

据《财经》援引一位业内人士的话说，京东泄露的数据已经被多次出售，“至少有数百家黑产商掌握了数据”。

某互联网公司旗下电商平台技术人员告诉腾讯财经，已经流传的信息可能存在窥探其他数据的可能。这是因为黑生产者可以利用它来进行进一步的“撞库”操作。

崩溃填充是指黑客在互联网上收集泄露的用户和密码信息，生成相应的字典表，并尝试批量登录其他网站，获取一系列可以登录的用户信息。

据他介绍，一般情况下，系统在数据库中存储用户密码时，并不会存储密码的原始文本，而是存储经过MD5、Sha1等加密后的数据。如果密码的加密字符串为得到，反编译得到密码原文。

“加密后，破解密码往往需要很长时间。但如果密码在数据库中已经被解密，与新密码相比，黑客往往可以瞬间破解。” 那人说。

据了解。很多用户在不同的网站使用相同的账号和密码，黑客可以通过获取用户在A网站的账号来尝试登录B网站。