360公布搜狗收集用戶密碼證據 搜狗稱對手抹黑

jopen 11年前發布 | 6K 次閱讀 360

  360 公司今天下午召開媒體發布會,公布搜狗收集用戶隱私信息并泄漏的相關資料,稱此次由于搜狗泄密而導致了重大安全事故。不過,搜狗方面向新浪科技發來的聲明堅稱,搜狗瀏覽器無問題,這次漏洞事件完全是 360 精心策劃、幕后操縱的行為。

  360 公司副總裁曲曉東介紹說,11 月 5 日,360 公司接到用戶反饋,稱在使用個人 QQ 賬戶登陸搜狗瀏覽器時,可以查看到大量其他用戶的賬號和密碼,使用這些賬號和密碼可以直接登錄到這些賬戶。在這些論壇上,有用戶發布了關于該事故的詳情,特別是如何獲取其他用戶賬號和密碼的詳細操作步驟,360 公司立即組織技術人員對這一重大安全事故開展驗證,經驗證,相關信息完全屬實。

  曲曉東稱,搜狗泄密是一次罕見的互聯網安全事故,被泄露的用戶賬號信息主要包括三類:登錄賬號和密碼、收藏夾數據和上網歷史記錄:

  第一,經 360 公司初步驗證以及根據網民反饋的信息不完全統計,遭到泄漏的用戶賬戶類型主要有:電子郵箱、社交媒體、電商、電子支付、手機應用賬戶、電信運營商、政府、高校和企業內部管理系統等。

  第二,此次能夠獲取到泄漏數據的版本是搜狗瀏覽器 4.2 版本,但其他版本的搜狗瀏覽器登錄賬戶和密碼,都可能被泄露到使用搜狗瀏覽器 4.2 版本的用戶電腦中。由于搜狗瀏覽器的自動填表功能是默認開啟的,而且搜狗瀏覽器 4.2 版本已經作為正式版在推廣,因此此次安全事件影響面非常廣。

  第三,搜狗瀏覽器擁有幾千萬用戶,泄漏的賬號密碼分類非常廣泛,并且泄漏時間持續至少 1 周以上。目前,沒有其他產品出現過這種大規模的用戶信息泄漏問題,這是互聯網瀏覽器歷史上罕見的安全事故。

  在發布會現場,360 向媒體播放了一段視頻(視頻地址),該視頻顯示,在一臺只有基本應用程序的電腦中,下載安裝搜狗瀏覽器,點擊搜狗瀏覽器的賬號登錄系統,使用 QQ 賬號和密碼進行注冊和登陸,雙擊退出該系統。然后,在工具欄里點擊“智能填表”,再選擇管理表單數據,網頁上就會彈出一個表單。繼續點擊,就會出現大量不同用戶的個人賬號密碼等信息。視頻顯示,使用這些賬號和密碼能夠進入到這些用戶的淘寶、郵箱、QQ 等系統中。

  360 技術人員在現場分析說,導致泄密的原因,是搜狗瀏覽器具有的自動填表功能,這個功能會把用戶的賬號和密碼上傳到搜狗服務器上。當用戶再次使用搜狗瀏覽器的時候,搜狗會把收集的用戶賬號和密碼從服務器回傳到瀏覽器上,以方便用戶使用。

  “然而,由于搜狗的軟件在同步方面存在設計缺陷,用戶退出后,會觸發該設計錯誤,導致服務器將大量其他用戶的賬號和密碼回傳到瀏覽器上,除了賬號和密碼外,還包括其他用戶的收藏夾信息、歷史記錄等。”該技術人員說。

  360 技術人員建議,對于曾經使用過搜狗瀏覽器自動填表功能的用戶,目前必須要做的,就是第一時間修改所有登錄或保存過的賬號密碼,包括但不限于電子郵箱、社交媒體、電商、電子支付平臺、手機應用賬戶、政府信息管理系統、公用事業信息平臺、電信服務、高校內部管理信息系統、企業內部管理系統等。

  “而對于提供互聯網軟件服務的公司,應謹慎收集用戶的隱私數據,特別是賬號密碼等,并應提供高級別的安全加密措施,保證用戶個人信息不被解密,以及不同用戶之間數據的隔離。此外,互聯網軟件應采用高水準的軟件設計架構,來保證個人信息不會因為軟件低級缺陷而被泄漏。”上述人員說。

  據悉,11 月 5 日下午,漏洞報告平臺 WooYun (烏云)已經發布了搜狗瀏覽器存在漏洞的消息。中央電視臺《24 小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細報道了記者驗證該漏洞信息的全過程。

</p>

  搜狗回應

  對于 360 的行動,搜狗公司向新浪科技發來一篇官方聲明(全文),稱從 11 月 5 日開始,360 公司經過精心的策劃和導演,先后操縱論壇 ID、微博水軍及傳媒,并動用 360 導航、彈窗等手段,對搜狗瀏覽器再次進行了抹黑。

  搜狗堅稱:“我們承諾,搜狗瀏覽器安全可靠,并無所謂漏洞,請廣大用戶放心使用。這次漏洞事件完全是 360 精心策劃、幕后操縱的行為。”

  針對 360 向媒體播放的證據視頻,搜狗公司稱,360 的視頻不能為它的抹黑說法提供任何證明:只要通過賬號同步功能,在A電腦上用某個 QQ 賬號登錄瀏覽器后,同時在B電腦瀏覽器上登錄同一個 QQ 賬號,即可導入表單數據,再同步到A電腦上,這是賬號同步機制正常的功能特性。

  搜狗方面稱,事件爆出后,360 安全衛士首先發布了微博提醒用戶,然后 360 官微在短時間內集體出動轉發,繼而 360 安全衛士啟動彈窗要求用戶停止使用搜狗。360 也在其網站發布相關新聞,新聞中羅列出了眾多用戶爆出的搜狗瀏覽器安全漏洞問題,但這些用戶莫衷一是都是馬甲號,并且發布的爆料微博格式也極為相似。

  搜狗公司認為,在卡飯論壇出現搜狗樓頂的帖子之后,360 在未與搜狗取得聯系、確認問題性質的情況下,先后通過在微博發布公告、向全網用戶彈窗、發布視頻的方式,公布所謂漏洞的細節,這種行為違反了安全行業規則,其目的是打擊其競爭對手。

來自: 新浪科技
 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/10575