繼金山披露奇虎360涉嫌國內互聯(lián)網(wǎng)重大網(wǎng)民隱私泄露事件后���,360也再一次將矛頭指向金山���。
前日(1月3日)�����,360公司公開(kāi)表示��,通過(guò)百度��、谷歌�、搜狗�����、必應���、搜搜等各大搜索引擎�����,可以搜索到大量金山從用戶(hù)電腦上傳的網(wǎng)址記錄���,其中不乏用戶(hù)名和密碼�����。通過(guò)金山官方的pc120.com網(wǎng)站����,任何人都可以公開(kāi)查詢(xún)到這些網(wǎng)址����,包括其中包含的用戶(hù)名和密碼����。
就在去年12月31日���,金山緊急召開(kāi)發(fā)布會(huì )��,披露國內互聯(lián)網(wǎng)重大網(wǎng)民隱私泄露事件:360客戶(hù)端正悄然收集其用戶(hù)的個(gè)人隱私資料�����,其中包括用戶(hù)訪(fǎng)問(wèn)網(wǎng)站記錄���、搜索記錄以及用戶(hù)名密碼等諸多信息���,而更進(jìn)一步的是����,這些資料目前已經(jīng)從360官方服務(wù)器上向外界擴散�。
值得注意的是���,昨日下午�����,金山網(wǎng)絡(luò )替換了其官網(wǎng)首頁(yè)
“360泄密”事件相關(guān)文章�����,奇虎360則臨時(shí)取消了相關(guān)的媒體溝通會(huì )�,雙方同時(shí)“收手”引起網(wǎng)民的極大關(guān)注�。有網(wǎng)友稱(chēng)�,或因為相關(guān)部門(mén)介入此事��。
風(fēng)波緣起
去年12月31日上午6時(shí)38分����,有網(wǎng)友在百度貼吧上報料稱(chēng):看看360都收集了什么�����,隨機發(fā)了相關(guān)鏈接地址����。
11時(shí)���,金山網(wǎng)絡(luò )稱(chēng)接到用戶(hù)舉報���,舉報者稱(chēng)其在網(wǎng)絡(luò )上搜索到自己的用戶(hù)名和密碼等信息����,懷疑電腦中毒����,要求協(xié)助解決����。
金山網(wǎng)絡(luò )工程師李鐵軍在接受《每日經(jīng)濟新聞》采訪(fǎng)時(shí)表示����,接到舉報后���,金山立即幫助用戶(hù)進(jìn)行解決排查���,并在解決過(guò)程中通過(guò)搜索引擎谷歌發(fā)現在互聯(lián)網(wǎng)上存在一個(gè)巨大的用戶(hù)隱私信息包����,經(jīng)過(guò)追蹤��,發(fā)現該隱私數據包來(lái)自360官方服務(wù)器�,里面包含大量網(wǎng)民上網(wǎng)行為記錄以及用戶(hù)名���、密碼等信息���。
14時(shí)��,金山網(wǎng)絡(luò )技術(shù)部門(mén)召開(kāi)緊急會(huì )議�,分析認為此類(lèi)數據并非安全軟件應該收集的記錄�。這也就意味著(zhù)����,360是在用戶(hù)不知情的情況下收集隱私數據���。經(jīng)過(guò)工程師進(jìn)一步對數據包分析�,發(fā)現其中包括網(wǎng)民在百度搜索關(guān)鍵字�����、淘寶購物記錄�、金蝶等企業(yè)內部財務(wù)網(wǎng)絡(luò )數據����、某政府機構官方郵箱用戶(hù)名及密碼等鏈接數據��。
國際上知名互聯(lián)網(wǎng)安全組織OWASP中國區西南地區負責人Joey在接受
《每日經(jīng)濟新聞》采訪(fǎng)時(shí)表示����,在看到金山發(fā)布的消息后�,也曾經(jīng)到谷歌快照下載了從360服務(wù)器外泄的日志文件������!坝捎360第一時(shí)間就刪除了該數據�,但是在谷歌的快照里還可以下載�,不過(guò)要‘爬墻’�����!
Joey指出����,在他所下載的總量不超過(guò)10%的日志中���,感觸最深的就是�����,這些日志中記錄了非常詳細的用戶(hù)信息�����,每臺電腦���,瀏覽了什么地址����,打開(kāi)了哪些頁(yè)面�,搜索了什么關(guān)鍵詞����,“甚至有一部分用戶(hù)名密碼都在里面��,光我下載的部分����,涉及到用戶(hù)名密碼的就達到200多個(gè)���!
泄密確有其事�����?
Joey認為�,“360收錄的確實(shí)是隱私內容����!睋渫嘎����,在利用360收集的用戶(hù)行為日志中找到了攜程某代理商的身份認證信息��,并成功進(jìn)入該代理商的攜程管理后臺�。從他手里掌握的已經(jīng)過(guò)濾的達幾百個(gè)密碼文件����,因為時(shí)間問(wèn)題并沒(méi)有挨個(gè)進(jìn)行驗證�����,不過(guò)都是各類(lèi)管理系統后臺�、論壇��、郵箱�����。
《每日經(jīng)濟新聞》從某安全廠(chǎng)商下載到的360服務(wù)器泄露的log文件中看到���,360日志記錄十分詳盡�����,例如某用戶(hù)在2010年12月8日至20日的23個(gè)日志中出現了268次�����,記錄了該用戶(hù)訪(fǎng)問(wèn)QQ空間���,下載軟件���,看在線(xiàn)電影�����,使用百度搜索引擎的所有瀏覽頁(yè)面行為����。此外���,可看到網(wǎng)購用戶(hù)姓名�、郵箱���、手機��、送貨地址��、訂單金額���、快遞費�����,下單時(shí)間精確到秒�����。
以20101216-urlreport.log為例�,其記錄了上海淘寶用戶(hù)牛小姐12月16日�,在淘寶網(wǎng)上購買(mǎi)了一款“秋冬羊毛呢百褶裙109送皮帶”����,拍下該物品的時(shí)間為2010年12月16日晚10時(shí)54分���,上述信息均在360的日志中記錄��,其中包括牛小姐的電話(huà)���、住址�����、網(wǎng)絡(luò )訂單號等詳細信息���。
記者隨后從牛小姐處確認了上述信息均為真實(shí)有效信息���,牛小姐也證實(shí)自己是360的用戶(hù)���。
對此����,淘寶公關(guān)人士對記者表示���,目前淘寶網(wǎng)絡(luò )信息安全部已獲知該信息�,也已介入調查����,相關(guān)細節暫無(wú)法對外公布�。
360回應引質(zhì)疑
在針對金山質(zhì)疑其收集用戶(hù)的隱私聲明中���,360表示沒(méi)有收集任何的用戶(hù)名和密碼信息�����,實(shí)際情況是極少數具有安全漏洞的網(wǎng)站將用戶(hù)名和密碼信息編寫(xiě)在網(wǎng)址URL中�����,以便傳遞給其服務(wù)器進(jìn)行身份認證��,而360軟件在通過(guò)惡意網(wǎng)址庫云查詢(xún)這些URL網(wǎng)址時(shí)���,并不會(huì )主動(dòng)去識別其中的用戶(hù)名和密碼�,因此會(huì )在網(wǎng)址云安全查詢(xún)日志中記錄這些URL�����。對于鑒別出的正常網(wǎng)頁(yè)����,其URL網(wǎng)址記錄會(huì )自動(dòng)從日志文件中刪除�����。
金山網(wǎng)絡(luò )CEO傅盛表示��,360作為一家安全軟件企業(yè)���,通過(guò)云安全收集惡意網(wǎng)址庫是理所當然的�����,但像淘寶這樣的知名大網(wǎng)站�����,并不是惡意網(wǎng)址庫需要收集的���。
Joey也指出�,360白皮書(shū)中確實(shí)承認“如果您訪(fǎng)問(wèn)的網(wǎng)址不在黑白名單列表中��,360安全瀏覽器會(huì )發(fā)送到360的服務(wù)器”�,但像淘寶這樣的大網(wǎng)站居然不在360的
“黑白名單列表”中���,就不可思議了�����。
針對上述質(zhì)疑�����,360方面表示�,當未知掛馬網(wǎng)頁(yè)觸發(fā)360網(wǎng)盾報警時(shí)���,用戶(hù)可能會(huì )同時(shí)打開(kāi)很多個(gè)網(wǎng)頁(yè)���。目前技術(shù)上無(wú)法準確判斷是哪個(gè)網(wǎng)頁(yè)觸發(fā)了報警��,360網(wǎng)盾會(huì )將觸發(fā)報警時(shí)用戶(hù)同時(shí)打開(kāi)的網(wǎng)址(URL)一起上報至服務(wù)器���。這也是為什么可疑惡意網(wǎng)址日志文件中會(huì )包含一些知名網(wǎng)站和內網(wǎng)網(wǎng)址的原因�����。
“從技術(shù)上準確判斷哪個(gè)網(wǎng)址觸發(fā)報警其實(shí)并不困難���。但是����,從泄露出來(lái)的日志信息來(lái)看�����,這些正常網(wǎng)址所占比例很高�����,并不像是‘將觸發(fā)報警時(shí)用戶(hù)同時(shí)打開(kāi)的網(wǎng)址一起上報至服務(wù)器’的��������!盝oey表示���。
金山自擺烏龍��?
1月3日��,金山旗下網(wǎng)站pc120.com也被曝光流出大量用戶(hù)隱私�����,其中包括用戶(hù)名和密碼���,這些用戶(hù)名和密碼已被各大搜索引擎抓取�����。
360方面人士對
《每日經(jīng)濟新聞》記者表示����,在金山旗下網(wǎng)站大量用戶(hù)隱私信息被泄露之前���,360公司副總裁譚曉生在第一時(shí)間以郵件的方式通知了金山董事長(cháng)雷軍和CEO傅盛����,也收到了金山安全專(zhuān)家李鐵軍的郵件回復��。
金山網(wǎng)絡(luò )市場(chǎng)部副總裁肖潔表示��,金山pc120.com是用戶(hù)主動(dòng)提交網(wǎng)址進(jìn)行查詢(xún)的獨立網(wǎng)站����,那些包含部分個(gè)人隱私的內容數據是網(wǎng)友自己上傳的�,金山已全部刪除這些信息�����,并與收錄的搜索引擎積極聯(lián)系����,消除影響�。
Joey表示��,經(jīng)過(guò)驗證���,金山提供了一個(gè)入口:http:/wangzhi.pc120.com/供用戶(hù)用來(lái)檢驗網(wǎng)址是否安全����,而之前曝光的用戶(hù)隱私搜索出來(lái)的正是這個(gè)地址的處理日志����,“也就是說(shuō)���,這個(gè)是用戶(hù)主動(dòng)發(fā)起的�����!
“金山這個(gè)性質(zhì)不一樣�����,360是主動(dòng)抓取用戶(hù)數據����,金山是被動(dòng)接受用戶(hù)提交���。不過(guò)金山也確實(shí)犯了錯誤�,就是用戶(hù)提交的這些數據它沒(méi)有處理妥當���,還是公開(kāi)了�����。這不能不說(shuō)也是個(gè)安全問(wèn)題��������!盝oey說(shuō)����。
一位不愿意透露姓名的安全廠(chǎng)商表示��,由于地區���、人群分布的瀏覽報告對于電子商務(wù)非常有價(jià)值�,國內許多有渠道的廠(chǎng)商都在做類(lèi)似的數據分析��。
著(zhù)名互聯(lián)網(wǎng)專(zhuān)家謝文在接受媒體采訪(fǎng)時(shí)表示���,互聯(lián)網(wǎng)行業(yè)有個(gè)不成文的規矩�����,只要用戶(hù)上了網(wǎng)�,他的很多信息就都是可以看到的��。包括谷歌���、百度等公司����,都會(huì )自然生成cookie���,這個(gè)很容易被讀到��������!暗@是產(chǎn)品提供商的問(wèn)題��,現在要明確的問(wèn)題是��,360是否主觀(guān)故意在產(chǎn)品設計中系統地收集整理用戶(hù)隱私信息���,是否將這些信息進(jìn)行商業(yè)盈利�����!