昨天晚上，有媒体爆出，在黑市有疑似京东数据外泄超过12G，涉及数千万用户名、密码、邮箱、QQ号、电话号码、身份证等多维度数据千万条。今天一早，京东对此进行回应，称经初步判断，该数据的确源于2013年Struts 2的安全漏洞问题。

部分京东账号依然可登陆

据了解，最近在地下黑产渠道，这12G数据包再次被明码标价交易，价格从“10万到70万”不等。

12G数据包部分内容截屏

在此之前，这一数据包内的相关信息已被销售多次，至少有超过百个黑产者手里掌握着相同数据。但最近在黑市内，这批数据又开始流通。

尽管，数据库中的部分用户密码都进行过MD5加密（需要专业破解软件，才能得到原密码，用时较长），但已经拿到数据库的媒体，根据部分用户名和破解的密码尝试登陆，发现其中大部分依然可顺利登陆京东账户。登陆后，用户在京东上订单、地址、交易信息都一览无遗。

据了解，部分账户内有余额、或者有代金券的，或许已经在黑客第一遍“洗库”时遭到转移。目前留下的，则基本为交易数据，包括用户名、密码，地址等等。黑客拿到这些数据，还可进行撞库操作。通过这些泄露的用户名、密码尝试批量登录其他网站，获取数据。对于习惯在多个网站上使用同一个用户名和密码的用户来说，安全隐患极大。

因此，安全人士建议：

1 紧急更换京东用户名和密码。

2  及时更换与京东账户密码使用相同密码平台的信息，以防安全隐患扩大化。

京东回应：三年前泄露的数据

今天上午，京东对此回应：经其信息安全部门依据报道内容初步判断，该数据源于2013年Struts 2的安全漏洞问题。当时，他们已经迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示。“但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。”

据挨踢妹搜索相关信息后发现，Struts2 是 Apache基金会项目下的一个web 框架，普遍使用于阿里巴巴、京东等互联网平台，以及政府、企业门户网站。2013年7月，在Struts2框架下，爆发一次严重漏洞危机，当时被业内人士称为“来势凶猛”，导致国内很多银行、政府机构、大部分大中型互联网公司，国外的包括苹果的开发者网站都被黑掉。从京东泄露的事件看，并不能排除还有其他平台数据库依然流传于黑市中。因此，建议用户积极更换常用互联网平台的密码设置。

以下为京东《关于有媒体报道京东数据安全问题的声明》：

昨日，有媒体报道《京东数据疑似外泄》，经京东信息安全部门依据报道内容初步判断，该数据源于2013年Struts 2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响，导致大量数据泄露。京东在Struts 2的安全问题发生后，就迅速完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示，当时受此影响的绝大部分用户都对自己的账号进行了安全升级。但确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。

京东在此也强烈建议用户高度重视信息安全和隐私保护，在涉及到财产的电商、支付类系统中使用独特的用户名和登录密码，开启手机验证和支付密码，并将登录密码和支付密码设为高强度的复杂密码，提高账户安全等级。

同时，针对出现在地下黑色产业链中采用黑客攻击用户账户、盗取用户账号资产和贩卖用户信息等不法行为，京东已与警方建立了长效的合作机制，并将联合警方进行坚决的打击。