保障用户信息安全是互联网公司的底线

　　京东在急切回应相关消息的同时，更为迫切的是着手进行技术升级，守住个人信息保护的大门，不能再发生因此而导致的个人安全信息泄露事件

　　12月11日，针对近期发生的疑似京东数据大量泄露事件，京东正式作出了回应。此前有消息称，黑市上出现一个12G的数据包开始流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条，这些数据已被销售数次，被指来自京东。

　　京东回应指出，该数据源于2013年Struts2的安全漏洞问题，当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响，导致大量数据泄露。京东方面表示，当时就迅速完成了系统修复，但确实仍有极少部分用户并未及时升级账号，依然存在一定风险。

　　这个回应显然缺乏必要诚意。整个回应无非是这意思：数据泄露确实存在，不过是很早的事情了，很多家公司和机构都“中招”了；京东已经做了自己该做的事情，也提醒用户了；用户没有及时升级账户，不能让京东“背锅”。

　　据介绍，Struts2是apache项目下的一个web框架，普遍应用于阿里巴巴、京东等互联网及政府、企业门户网站。那么很简单一个问题：既然当时那么多企业都“中招”了，为何只有京东到今天屁股还没擦干净？这是有人刻意黑京东，还是暴露了京东网站安全仍存在技术薄弱环节，或者不把用户信息安全放在心上？

　　问题暴露了，企业不该用这种搪塞的口吻推脱责任。在互联网应用日益普及的今天，如何保障用户信息安全，应成为各大互联网公司的底线。如果连这点都做不到，怎么让用户信任你，用户又怎么能放心使用你的产品和服务？这一点应该是常识问题，难道还需要强调吗？

　　京东也提到，发生安全漏洞后，京东针对可能存在信息安全风险的用户进行了安全升级提示。那么为什么不更进一步，做得更彻底一些，对那些在一定时间内仍未进行安全升级的账号进行暂时锁定处理？这样的话，不就可以引导所有存在安全风险的用户主动进行安全升级了吗？这在技术上并不难做到，只不过是一个弹窗提醒操作而已。这样即使用户没有及时注意到风险，也可保障用户的信息安全，从而为用户安全升级留出宽裕的时间窗口。

　　但直至今天，仍然有人在倒卖这些数据包，而且其中包含的个人信息仍有可能撞开用户的“大门”。对此，用户自身也有一定责任，但掌握这些个人信息的京东仍在“开门揖盗”，难道不该承担更大责任吗？毕竟，用户把个人信息存储在网站，是基于对互联网公司的信任，相信网站有技术能力保障这些个人信息的安全。如果说几年前发生的安全漏洞，责任不在京东，今天这些个人信息仍然处于风险状态，这很明显就是网站的责任。

　　因此，京东在急切回应相关消息的同时，更为迫切的是着手进行技术升级，守住个人信息保护的大门，不能再发生因此而导致的个人安全信息泄露事件。

　　（作者系知名媒体评论员）