京东用户数据泄露 回复称源于3年前漏洞问题

­　　12月11日消息，针对用户数据疑遭泄露一事，京东在今日凌晨通过官方微信作出回应。京东方面表示：经过初步判断，泄漏的数据源于2013年Struts 2的安全漏洞问题。

­　　京东方面并未否认这些数据来自于京东。但其回复称，2013年Struts 2的安全漏洞问题，使当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响，导致大量数据泄露。

­　　京东方面还表示，在Struts 2的安全问题发生后，京东完成了系统修复，同时针对可能存在信息安全风险的用户进行了安全升级提示。

­　　但京东也在声明中承认，确实仍有极少部分用户并未及时升级账号安全，依然存在一定风险。

­　　了解到，本次数据泄漏事件是源于近日开始流通的一个12G的数据包，这其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等维度，数据达到数千万条。而有消息称，这些数据来自京东，随后有媒体报道了此事件。

­　　据媒体报道，该数据里的部分用户名和密码可以登陆京东账户。同时数据已被销售多次。在大部分数据外泄后，黑客会先进行洗库，登录账户将有价值的内容清洗一遍，比如登录游戏账户，将虚拟币转走。一般这个清洗过程，需要几个月甚至更长时间。第二次“洗库”，才会将数据出售。

­　　据了解，Struts是Apache基金会的一个开源项目，应用于大型互联网企业、政府、金融机构等网站建设，并作为网站开发的底层模板使用。2013年，乌云平台漏洞报告称，Struts 2安全漏洞可以让黑客可直接通过浏览器对服务器进行任意操作并获取敏感内容。

­　　以下为京东回应全文：