近日，京東12GB用戶數(shù)據(jù)泄漏的事情鬧得沸沸揚揚。京東已經(jīng)這件事做出了正面回應，稱這是源于2013年Struts 2的安全漏洞問題，當時國內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行、政府機構都受到了影響，導致大量數(shù)據(jù)泄露。并且還特別強調(diào)，京東在Struts 2的安全問題發(fā)生后，就迅速完成了系統(tǒng)修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。

　　京東聲明中無道歉信息，招致用戶不滿

　　京東已經(jīng)不是第一次被曝數(shù)據(jù)外泄。2015年，京東就被曝出大量用戶隱私信息泄露，多名用戶被騙走金錢，總共損失數(shù)百萬元。一年后京東給出的調(diào)查結果是3名物流人員通過物流流程，掌握了用戶姓名、電話、地址、何時下單、所購貨物等信息。

　　就京東的對于此次用戶數(shù)據(jù)泄露的聲明似乎看不到道歉的信息，也沒有給出任何解決方案，僅僅是提醒用戶高度重視信息安全和隱私保護，此舉招致了諸多用戶的不滿。在用戶看來度，這是一種推卸責任的表現(xiàn)。有用戶質疑，為何三年前的一個問題，三年后都沒能得到有效解決?

　　如果京東的用戶數(shù)據(jù)事件影響擴大，無疑對京東在大眾心目中的品牌形象大打折扣，畢竟，信任感不是一朝一夕就能培養(yǎng)出來的。即使物流做的再完善，個人信息得不到有效保證，想必京東用戶的留存能力方面也將面臨巨大的考驗。

　　2013年漏洞所致，為何不做徹底更改？

　　這件事發(fā)生之后，就有人深挖了京東的這次用戶數(shù)據(jù)泄露事件，據(jù)資料來看，京東所指出的2013年Struts 2的安全漏洞問題是這次數(shù)據(jù)泄露的核心所在。專業(yè)人士表示，Struts是基于Java語言的一款開源框架，類似基于PHP語言的Yii和Laravel，攻擊者可以利用該漏洞執(zhí)行惡意java代碼，最終導致網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等嚴重后果，最終威脅到網(wǎng)站及網(wǎng)民的安全。當時的Struts2出現(xiàn)的高危漏洞波及范圍很廣，國內(nèi)很多知名網(wǎng)站在內(nèi)的大量網(wǎng)站都受到了影響。

　　根據(jù)業(yè)內(nèi)人士的表示，類似Struts2在2013年出現(xiàn)的高危漏洞，若是框架自身安全性存在問題，系統(tǒng)就極容易被攻擊，所以有財力、能力的人往往都自造框架。例如螞蟻金服方面以及阿里巴巴就因為Struts框架本身存在安全漏洞，早就放棄了該技術。

　　京東也是當時Struts 2的安全漏洞問題的波及者之一，自然深知該技術的漏洞所在。但是，時隔三年之后，京東的用戶數(shù)據(jù)遭泄露竟然還是因為這次事件，這就不免令人對京東的技術遭質疑了，京東為何還不做改進?

　　其實這個問題很簡單，不放棄Struts2產(chǎn)品自然是因為Struts2有其自身優(yōu)勢所在。根據(jù)業(yè)人士表示，Struts2采用的是開源框架，開源框架優(yōu)勢就在于不僅出框架，還能給出這個框架的搭建方法以及源碼。在此基礎上，任何人都可以根據(jù)需要更改框架。正因如此，Struts2得到了程序員的青睞，因為程序員可以在最短的時間內(nèi)利用這個開源框架，可大大提升工作效率。

　　企如果要放棄該技術重新更換框架自然是好使耗材耗力的一件事，但是如果是為了效率而放棄安全性，這就是平臺自身的問題了。

　　各種金融類產(chǎn)品層出不窮，如何讓用戶放心使用？

　　目前的電商平臺，大多數(shù)都針對購物開展了金融業(yè)務，例如螞蟻花唄、京東白條等，這些業(yè)務大多是向消費者提供類似信用卡的服務，即平臺給用戶一定的額度，可進行分期購買商品，以達到刺激消費的作用。

　　正因如此，這些金融類賬號與電商平臺的普通購物賬號有一定的關聯(lián)性，而不法分子利用這個漏洞盜刷額度的事件在各個平臺都有出現(xiàn)，而盜取預消費額度確實也能夠達到與直接盜取錢財相同的效果。

　　網(wǎng)絡上也經(jīng)常會有這樣的事件被曝出。例如前不久，溫州一男子就遇到了京東白條被盜刷的事情。該男子稱，捆綁京東賬戶的手機被停機保號，京東賬號密碼被重置，捆綁手機也被修改，有人盜刷他的京東白條額度購買了9553元的東西。

　　對于這次盜刷白條事件，該男子表示質疑，京東的重置密碼服務中是否存在重大漏洞?但是在律師看來，這種情況要區(qū)別對待。如果是用戶自己點了帶有病毒的鏈接所致，責任自然由用戶自己承擔;但是如果用戶并無操作不當，則是因為平臺系統(tǒng)安全級別過低，沒有達到行業(yè)標準，責任應當由平臺承擔。

　　無論是誰的責任，目前這種一號多關聯(lián)的情況其實已經(jīng)為用戶的財產(chǎn)安全敲響了警鐘，因為一旦某一個環(huán)節(jié)出問題，很可能就是牽一發(fā)而動全身的結果。

　　在互聯(lián)網(wǎng)金融產(chǎn)品層出不窮的今天，平臺承擔著極為重要的責任，為了提升效率搶市場而忽視在技術層面的改進的做法終究是應該摒棄的。類似白條這種產(chǎn)品，本是利民的一件事，但金融類產(chǎn)品留住用戶的核心支出是建立起平臺與用戶之間的信任感。如果因為其他問題影響了這種信任感，就得不償失了。



附加新聞：
 

   12月10日晚，網(wǎng)絡曝出疑似大量京東用戶數(shù)據(jù)外泄。對此，京東集團回應稱初步判斷該數(shù)據(jù)源于2013年Struts2的安全漏洞問題，當時已迅速完成修復。

    此次網(wǎng)上曝光稱，有12G的數(shù)據(jù)包外泄，包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度數(shù)據(jù)，數(shù)量多達數(shù)千萬條。

    京東集團在12月11日凌晨發(fā)表聲明，稱該數(shù)據(jù)源于2013年Struts2的安全漏洞，已經(jīng)完成修復。在Struts2的安全問題發(fā)生后，京東迅速完成了系統(tǒng)修復，同時針對可能存在信息安全風險的用戶進行了安全升級提示，當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級，但確實仍有極少部分用戶并未及時升級賬號安全，依然存在一定風險。

    京東建議用戶高度重視信息安全和隱私保護，在涉及財產(chǎn)的電商、支付系統(tǒng)中開啟手機驗證和支付密碼，并將登錄密碼和支付密碼設為高強度的復雜密碼，提高賬戶安全等級。

    據(jù)了解，Struts為廣泛應用于互聯(lián)網(wǎng)企業(yè)、金融機構等網(wǎng)站建設的開源項目，2013年漏洞被爆出后，該項目團隊發(fā)布了更新版本解決上述問題。