3Q大战告一段落,但硝烟并未散去。2010年的最后一天,一场关于用户隐私的战争再次爆发,有意思的是,这次涉嫌泄漏用户隐私的主角正是3Q大战中的“安全卫士”360。
2010年12月31日下午,金山指责360收集网友隐私,包括用户访问网站记录、搜索记录以及用户名密码等信息,并以360服务器被谷歌抓取的日志作为证据。360则回应称这是上传恶意网站的正常功能,金山也有这一功能。而此次被Google抓取到的日志中,不到万分之一的URL含用户名和密码等信息“泄漏风险非常有限”。
事件
用户资料外泄长达14小时
“没想到2010年会以这样的方式结束工作。”2010年12月31日下午4点许,金山网络CEO傅盛在微博上写下这样一句话。就在此时,金山召开紧急新闻发布会,称其安全中心接到用户举报,在Google网站上可以搜索到大量中国网民使用互联网的隐私记录,甚至包括用户登录网站或邮箱的用户名、密码。而这些数据的来源,正是之前3Q大战中的“安全卫士”360。
发布会在网上进行了直播,现场展示了部分案例,这些案例分别涉及360用户在百度、谷歌、搜狗等搜索引擎上的搜索历史、邮箱等服务的用户名密码,以及某些内部网络的登录地址、文档信息等内容。
金山网络称,经过验证发现,360在通过其他客户端秘密手机网友信息,但由于服务器的配置问题,导致记录大量用户信息的日志文件被Google收录索引,导致大规模外泄。金山呼吁360用户尽快修改密码信息。
金山网络技术工程师李铁军在接受本报采访时表示,现在很多安全厂商都使用云技术,都会上传一些信息到云服务器上作匹配,以此判断链接是否安全。“但是云安全不应该是肆意收集用户隐私的遮羞布。”李铁军说,首先这些恶意网址在上传的时候是不会与用户电脑进行对应的,更不会对用户电脑的几乎所有操作都上传,比如新浪、网易、QQ等已被认证的网站、用户口令等唯一标识信息都会过滤之后才上传,而且上传供验证的部分恶意网址也不会被服务器保存。
李铁军认为,从360泄漏的日志来看,包含的用户信息非常详细,明显超过了上述范围,“虽然普通用户看不懂,但一旦被黑客利用,就非常危险了。”
据了解,泄漏的日志最早2010年12月31日上午6点许就在网上传播了,直到当晚10点,Google才将这些信息的网页快照完全屏蔽。
网友验证
利用日志成功登录携程代理后台
在网页快照屏蔽前几个小时,新浪微博用户Joey_Yin写道:“我在360的帮助下完成了2010年的最后一次入侵检测或者说Hacking,利用360收集的用户行为日志中找到了携程某代理商的身份认证信息,成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢?”
记者联系到该新浪微博用户,他真名叫殷钧钧,是成都一家外企的安全架构师,自称与金山和360无任何关系,只是在金山召开新闻发布会后,出于职业敏感,想了解事件的真相。
“我这里已经过滤出来了几百个密码文件,没时间一一验证,不过都是各类管理系统后台、论坛、邮箱。”殷钧钧表示,在金山披露360涉嫌泄漏用户隐私之后,通过Google还能抓取到10%左右的日志,但更早发现这一情况的人,应该下载了更多的数据。
360回应
含用户名密码的信息只有万分之一
由于元旦期间放假,记者先通过微博私信向360提出采访要求,对方给记者发回一份官方声明。该声明称:“金山公布的所谓‘360收集用户隐私’,实为360为帮助用户鉴别恶意网址而上传到360云安全中心查询的临时网址访问记录。”
之所以日志中包含一些用户名和密码,是因为“极少数具有安全漏洞的网站将用户名和密码信息编写在网址URL中以便传递给其他服务器进行身份认证。”360表示,经过统计,发现其中带有用户名和密码信息的网址不到万分之一,而且与Google公司核对发现,被抓取的只是少量日志,而且目前Google已经删除了这部分数据,“因此,此次事件可能导致的用户隐私信息泄漏风险是非常有限的。”而泄漏的原因是“服务器遭到了攻击”。
到底360此次泄漏的日志有多少?网友“小彭学SEO”在新浪微博上发文称,一开始通过搜索能找到8000多条记录,每条记录大概2万条上网数据,大约1.4亿条网址记录。如果按360“不足万分之一”的说法,那么也差不多有1万条网友隐私信息存在泄漏的可能了。
观点PK
金山
站出来是出于用户的安全
金山网络技术工程师李铁军在接受本报记者采访时称,这次事件与口水战无关。“在了解到这个事件后,我们也曾经犹豫,金山如果站出来说的话是会被一些人看成竞争手段。但是,当我们分析这些数据后,我们感到很恐惧,因为这个事件对网民的影响太大了。如果我们不及时说,让公众知道这个危险,那整个互联网的损失将是巨大的,所以我们最后决定站出来。这件事情的核心是用户安全。”
360
金山欲抹黑360
针对查询日志泄漏网友隐私的问题,360表示,URL云查询产生的查询日志几天时间就会被清除掉,而且由于360不记录用户的身份信息,所以并不涉及用户隐私。这对这部分包含用户信息的URL,会通过定期清除的机制来保证数据安全。
360认为,金山出于商业目的,通过捏造事实,无限放大事件的后果,宣称3亿网民面临隐私信息被窃取的风险,并发布虚假的“安全预警”新闻,其目的无非是想制造公众恐慌情绪来攻击360,来达到推广自己的产品的目的。
网友点评
过早公布漏洞违反安全原则
新浪微博网友Joey_Yin认为,虽然360泄漏用户隐私是事实,但金山第一时间召开新闻发布的做法“不够厚道”。“安全界的原则,黑客发现这些漏洞之后第一反应应该是通知有漏洞方,避免造成用户损失。”Joey_Yin表示,如果金山不开发布会,很多人就不会知道这个漏洞,虽然在金山看来是在通知用户,但同时也给黑客提供了信息。如果是先通知Google删除数据,之后再开发布会才是合适的做法。但这样做,360弥补之后可能就不会承认了,“所以大家看的都还是利益。”
本文来源:不详 作者:佚名