京東12GB用戶數據泄漏 平臺責任感遭質疑
近日,京東12GB用戶數據泄漏的事情鬧得沸沸揚揚。京東已經這件事做出了正面回應,稱這是源于2013年Struts 2的安全漏洞問題,當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了影響,導致大量數據泄露。并且還特別強調,京東在Struts 2的安全問題發生后,就迅速完成了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。
京東聲明中無道歉信息,招致用戶不滿
京東已經不是第一次被曝數據外泄。2015年,京東就被曝出大量用戶隱私信息泄露,多名用戶被騙走金錢,總共損失數百萬元。一年后京東給出的調查結果是3名物流人員通過物流流程,掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息。
就京東的對于此次用戶數據泄露的聲明似乎看不到道歉的信息,也沒有給出任何解決方案,僅僅是提醒用戶高度重視信息安全和隱私保護,此舉招致了諸多用戶的不滿。在用戶看來度,這是一種推卸責任的表現。有用戶質疑,為何三年前的一個問題,三年后都沒能得到有效解決?
如果京東的用戶數據事件影響擴大,無疑對京東在大眾心目中的品牌形象大打折扣,畢竟,信任感不是一朝一夕就能培養出來的。即使物流做的再完善,個人信息得不到有效保證,想必京東用戶的留存能力方面也將面臨巨大的考驗。
2013年漏洞所致,為何不做徹底更改?
這件事發生之后,就有人深挖了京東的這次用戶數據泄露事件,據資料來看,京東所指出的2013年Struts 2的安全漏洞問題是這次數據泄露的核心所在。專業人士表示,Struts是基于Java語言的一款開源框架,類似基于PHP語言的Yii和Laravel,攻擊者可以利用該漏洞執行惡意java代碼,最終導致網站數據被竊取、網頁被篡改等嚴重后果,最終威脅到網站及網民的安全。當時的Struts2出現的高危漏洞波及范圍很廣,國內很多知名網站在內的大量網站都受到了影響。
根據業內人士的表示,類似Struts2在2013年出現的高危漏洞,若是框架自身安全性存在問題,系統就極容易被攻擊,所以有財力、能力的人往往都自造框架。例如螞蟻金服方面以及阿里巴巴就因為Struts框架本身存在安全漏洞,早就放棄了該技術。
京東也是當時Struts 2的安全漏洞問題的波及者之一,自然深知該技術的漏洞所在。但是,時隔三年之后,京東的用戶數據遭泄露竟然還是因為這次事件,這就不免令人對京東的技術遭質疑了,京東為何還不做改進?
其實這個問題很簡單,不放棄Struts2產品自然是因為Struts2有其自身優勢所在。根據業人士表示,Struts2采用的是開源框架,開源框架優勢就在于不僅出框架,還能給出這個框架的搭建方法以及源碼。在此基礎上,任何人都可以根據需要更改框架。正因如此,Struts2得到了程序員的青睞,因為程序員可以在最短的時間內利用這個開源框架,可大大提升工作效率。
企如果要放棄該技術重新更換框架自然是好使耗材耗力的一件事,但是如果是為了效率而放棄安全性,這就是平臺自身的問題了。
各種金融類產品層出不窮,如何讓用戶放心使用?
目前的電商平臺,大多數都針對購物開展了金融業務,例如螞蟻花唄、京東白條等,這些業務大多是向消費者提供類似信用卡的服務,即平臺給用戶一定的額度,可進行分期購買商品,以達到刺激消費的作用。
正因如此,這些金融類賬號與電商平臺的普通購物賬號有一定的關聯性,而不法分子利用這個漏洞盜刷額度的事件在各個平臺都有出現,而盜取預消費額度確實也能夠達到與直接盜取錢財相同的效果。
網絡上也經常會有這樣的事件被曝出。例如前不久,溫州一男子就遇到了京東白條被盜刷的事情。該男子稱,捆綁京東賬戶的手機被停機保號,京東賬號密碼被重置,捆綁手機也被修改,有人盜刷他的京東白條額度購買了9553元的東西。
對于這次盜刷白條事件,該男子表示質疑,京東的重置密碼服務中是否存在重大漏洞?但是在律師看來,這種情況要區別對待。如果是用戶自己點了帶有病毒的鏈接所致,責任自然由用戶自己承擔;但是如果用戶并無操作不當,則是因為平臺系統安全級別過低,沒有達到行業標準,責任應當由平臺承擔。
無論是誰的責任,目前這種一號多關聯的情況其實已經為用戶的財產安全敲響了警鐘,因為一旦某一個環節出問題,很可能就是牽一發而動全身的結果。
在互聯網金融產品層出不窮的今天,平臺承擔著極為重要的責任,為了提升效率搶市場而忽視在技術層面的改進的做法終究是應該摒棄的。類似白條這種產品,本是利民的一件事,但金融類產品留住用戶的核心支出是建立起平臺與用戶之間的信任感。如果因為其他問題影響了這種信任感,就得不償失了。