V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
caomu
V2EX  ›  分享发现

据说淘宝被脱裤了(Struts漏洞)

  •  
  •   caomu · 2013-07-22 12:21:59 +08:00 · 7881 次点击
    这是一个创建于 4143 天前的主题,其中的信息可能已经有所发展或是发生改变。
    via http://www.dzzq.com.cn/Famous/Article.aspx?ID=17054 (小心你的钱! 淘宝京东等厂商被曝脱库_大众证券网·理财e家)

    Struts漏洞大家应该都了解过了,乌云上大量提交( /t/76104 /t/76133 )。然后目前是“据部分网友消息,淘宝已被黑客脱库,该消息未被淘宝官方证实”,有网友回报帐号被异地登录( http://twitter.com/zhuipili/status/359142184932483072 )。
    33 条回复    1970-01-01 08:00:00 +08:00
    v8ex
        1
    v8ex  
       2013-07-22 12:39:14 +08:00
    只要没被脱"内裤“就好
    wzxjohn
        2
    wzxjohn  
       2013-07-22 12:40:12 +08:00
    就目前所知应该是没有的。只是有分站被拖了。
    zhttty
        3
    zhttty  
       2013-07-22 12:41:01 +08:00
    不觉得是真的,不过各大电商在裸奔倒是可以见得...
    welsmann
        4
    welsmann  
       2013-07-22 12:41:40 +08:00
    呵呵,给他权限脱,有那么大地方放么,上PB级别
    horx
        5
    horx  
       2013-07-22 13:05:34 +08:00
    @welsmann 可以脱部分库吧? 对于想脱的人,那么多商品信息有用么 ...

    ```
    先爆个小道消息,据某地下黑客组织成员透露,Struts这个漏洞在12号就有人在批量利用了,在17号晚有人用这个漏洞拖了3亿的库,其中包括某国内数一数二的电商网站。当然我相信这仅仅是冰山一角。
    ```
    参考这里:
    http://taosay.net/?p=614
    forghed
        6
    forghed  
       2013-07-22 13:14:27 +08:00
    应该是真的吧,不少安全圈的人都转了 http://weibo.com/1584228641/A17qEjOE7
    xspoco
        7
    xspoco  
       2013-07-22 13:17:59 +08:00 via iPhone
    擦…我是不是要去把我常用密码都去换掉…好麻烦…
    lvye
        8
    lvye  
       2013-07-22 13:29:16 +08:00   ❤️ 1
    首先,内网权限及其严格,光靠洞获取shell是不行的,拿数据还是需要很多工具支持的.
    其次,如果像连接数据库大量读取数据的行为系统肯定会报警的.
    最重要的是,数据肯定是不可逆的,不可能会被破解.
    DearMark
        9
    DearMark  
       2013-07-22 13:48:29 +08:00
    淘宝网的ver,快出来涨姿势。
    jedyu
        10
    jedyu  
       2013-07-22 13:54:54 +08:00
    taobao养着那么牛逼的安全团队,我是不信在外人搞定之前还不能防御好的。
    mille
        11
    mille  
       2013-07-22 14:00:03 +08:00
    这事没传的那么邪乎,听我一句,都散了吧。。。
    welsmann
        12
    welsmann  
       2013-07-22 14:03:32 +08:00
    支付宝这种核心数据的防护应该是银行级别的了吧,表示很淡定,围观事件发展
    davepkxxx
        13
    davepkxxx  
       2013-07-22 14:23:03 +08:00
    淘宝的人不是早就发现这个漏洞了吗?
    xdeng
        14
    xdeng  
       2013-07-22 14:34:09 +08:00
    京东不是 asp .net 的么
    xdata
        15
    xdata  
       2013-07-22 14:38:45 +08:00
    压力不大...
    就算破了, 登录还要手机验证, 还得安装数字证书呢...
    danzwl
        16
    danzwl  
       2013-07-22 14:40:56 +08:00
    反正我是不信 而且也没钱
    panzhc
        17
    panzhc  
       2013-07-22 15:45:00 +08:00
    淘宝账号异地登录我和同事都出现过。
    benyur
        18
    benyur  
       2013-07-22 15:46:42 +08:00
    个人觉得脱库也不会泄漏密码,如果密码简单,架不住社工。
    opennet
        19
    opennet  
       2013-07-22 15:52:51 +08:00
    淘宝官方微博已经说明情况了,去看看吧。
    EchoFUN
        20
    EchoFUN  
       2013-07-22 16:04:21 +08:00
    已辟谣。
    tension
        21
    tension  
       2013-07-22 16:08:54 +08:00
    前几天我的苏宁易购被人登录,然后用现金卷购买了东西!
    beingbin
        22
    beingbin  
       2013-07-22 16:24:03 +08:00
    淘宝帐号安全措施做好了,初次登录要手机验证的,还有数字证书什么的
    FrankFang128
        23
    FrankFang128  
       2013-07-22 17:02:40 +08:00
    把库放出来我就信,其他都是扯的。
    luikore
        24
    luikore  
       2013-07-22 18:52:24 +08:00
    千万不要以为公司大就很可靠, apple developers 也中招了
    tab
        25
    tab  
       2013-07-22 19:50:39 +08:00
    淘宝与支付宝在安全上的投入与实力在国内应该无出其右,某东帐号之前经常被盗的说。
    qiuai
        26
    qiuai  
       2013-07-22 20:12:46 +08:00
    很淡定.淘宝我不害怕.其他的我也不留钱.
    cYcoco
        27
    cYcoco  
       2013-07-22 20:41:54 +08:00
    淘宝主站基本都是webx 貌似只有聚划算用了一点Struct?不过拖库哪那么容易啊。
    v4an
        28
    v4an  
       2013-07-22 22:05:39 +08:00
    内行人士回复:假
    Yannis1990
        29
    Yannis1990  
       2013-07-23 00:56:49 +08:00
    这是要多快的网速...和多大的硬盘来存这些数据?
    onemoo
        30
    onemoo  
       2013-07-23 08:57:46 +08:00
    @horx
    但道哥可没说是淘宝的...
    caoyue
        31
    caoyue  
       2013-07-23 09:36:37 +08:00
    槽点太多无从吐起的感觉啊
    Evance
        32
    Evance  
       2013-07-23 09:40:58 +08:00
    假的。
    plan9
        33
    plan9  
       2013-07-23 10:42:18 +08:00
    我半年没登录淘宝了,前几天淘宝发邮件过来说我帐号可以给封了
    解封后登录上一看,发现从12号开始连续每天都有登录。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5596 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 01:36 · PVG 09:36 · LAX 17:36 · JFK 20:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.