360公司今天下午召開媒體發(fā)布會，公布搜狗收集用戶隱私信息并泄漏的相關(guān)資料，稱此次由于搜狗泄密而導(dǎo)致了重大安全事故。不過，搜狗方面向新浪科技發(fā)來的聲明堅稱，搜狗瀏覽器無問題，這次漏洞事件完全是360精心策劃、幕后操縱的行為。

360公司副總裁曲曉東介紹說，11月5日，360公司接到用戶反饋，稱在使用個人QQ賬戶登陸搜狗瀏覽器時，可以查看到大量其他用戶的賬號和密碼，使用這些賬號和密碼可以直接登錄到這些賬戶。在這些論壇上，有用戶發(fā)布了關(guān)于該事故的詳情，特別是如何獲取其他用戶賬號和密碼的詳細(xì)操作步驟，360公司立即組織技術(shù)人員對這一重大安全事故開展驗證，經(jīng)驗證，相關(guān)信息完全屬實。

曲曉東稱，搜狗泄密是一次罕見的互聯(lián)網(wǎng)安全事故，被泄露的用戶賬號信息主要包括三類：登錄賬號和密碼、收藏夾數(shù)據(jù)和上網(wǎng)歷史記錄：

第一，經(jīng)360公司初步驗證以及根據(jù)網(wǎng)民反饋的信息不完全統(tǒng)計，遭到泄漏的用戶賬戶類型主要有：電子郵箱、社交媒體、電商、電子支付、手機(jī)應(yīng)用賬戶、電信運(yùn)營商、政府、高校和企業(yè)內(nèi)部管理系統(tǒng)等。

第二，此次能夠獲取到泄漏數(shù)據(jù)的版本是搜狗瀏覽器4.2版本，但其他版本的搜狗瀏覽器登錄賬戶和密碼，都可能被泄露到使用搜狗瀏覽器4.2版本的用戶電腦中。由于搜狗瀏覽器的自動填表功能是默認(rèn)開啟的，而且搜狗瀏覽器4.2版本已經(jīng)作為正式版在推廣，因此此次安全事件影響面非常廣。

第三，搜狗瀏覽器擁有幾千萬用戶，泄漏的賬號密碼分類非常廣泛，并且泄漏時間持續(xù)至少1周以上。目前，沒有其他產(chǎn)品出現(xiàn)過這種大規(guī)模的用戶信息泄漏問題，這是互聯(lián)網(wǎng)瀏覽器歷史上罕見的安全事故。

在發(fā)布會現(xiàn)場，360向媒體播放了一段視頻 ，該視頻顯示，在一臺只有基本應(yīng)用程序的電腦中，下載安裝搜狗瀏覽器，點擊搜狗瀏覽器的賬號登錄系統(tǒng)，使用QQ賬號和密碼進(jìn)行注冊和登陸，雙擊退出該系統(tǒng)。然后，在工具欄里點擊“智能填表”，再選擇管理表單數(shù)據(jù)，網(wǎng)頁上就會彈出一個表單。繼續(xù)點擊，就會出現(xiàn)大量不同用戶的個人賬號密碼等信息。視頻顯示，使用這些賬號和密碼能夠進(jìn)入到這些用戶的淘寶、郵箱、QQ等系統(tǒng)中。

360技術(shù)人員在現(xiàn)場分析說，導(dǎo)致泄密的原因，是搜狗瀏覽器具有的自動填表功能，這個功能會把用戶的賬號和密碼上傳到搜狗服務(wù)器上。當(dāng)用戶再次使用搜狗瀏覽器的時候，搜狗會把收集的用戶賬號和密碼從服務(wù)器回傳到瀏覽器上，以方便用戶使用。

“然而，由于搜狗的軟件在同步方面存在設(shè)計缺陷，用戶退出后，會觸發(fā)該設(shè)計錯誤，導(dǎo)致服務(wù)器將大量其他用戶的賬號和密碼回傳到瀏覽器上，除了賬號和密碼外，還包括其他用戶的收藏夾信息、歷史記錄等?！痹摷夹g(shù)人員說。

360技術(shù)人員建議，對于曾經(jīng)使用過搜狗瀏覽器自動填表功能的用戶，目前必須要做的，就是第一時間修改所有登錄或保存過的賬號密碼，包括但不限于電子郵箱、社交媒體、電商、電子支付平臺、手機(jī)應(yīng)用賬戶、政府信息管理系統(tǒng)、公用事業(yè)信息平臺、電信服務(wù)、高校內(nèi)部管理信息系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等。

“而對于提供互聯(lián)網(wǎng)軟件服務(wù)的公司，應(yīng)謹(jǐn)慎收集用戶的隱私數(shù)據(jù)，特別是賬號密碼等，并應(yīng)提供高級別的安全加密措施，保證用戶個人信息不被解密，以及不同用戶之間數(shù)據(jù)的隔離。此外，互聯(lián)網(wǎng)軟件應(yīng)采用高水準(zhǔn)的軟件設(shè)計架構(gòu)，來保證個人信息不會因為軟件低級缺陷而被泄漏?！鄙鲜鋈藛T說。

據(jù)悉，11月5日下午，漏洞報告平臺WooYun(烏云)已經(jīng)發(fā)布了搜狗瀏覽器存在漏洞的消息。中央電視臺《24小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細(xì)報道了記者驗證該漏洞信息的全過程。

搜狗回應(yīng)

對于360的行動，搜狗公司向新浪科技發(fā)來一篇官方聲明（全文），稱從11月5日開始，360公司經(jīng)過精心的策劃和導(dǎo)演，先后操縱論壇ID、微博水軍及傳媒，并動用360導(dǎo)航、彈窗等手段，對搜狗瀏覽器再次進(jìn)行了抹黑。

搜狗堅稱：“我們承諾，搜狗瀏覽器安全可靠，并無所謂漏洞，請廣大用戶放心使用。這次漏洞事件完全是360精心策劃、幕后操縱的行為?！?/p>

針對360向媒體播放的證據(jù)視頻，搜狗公司稱，360的視頻不能為它的抹黑說法提供任何證明：只要通過賬號同步功能，在A電腦上用某個QQ賬號登錄瀏覽器后，同時在B電腦瀏覽器上登錄同一個QQ賬號，即可導(dǎo)入表單數(shù)據(jù)，再同步到A電腦上，這是賬號同步機(jī)制正常的功能特性。

搜狗方面稱，事件爆出后，360安全衛(wèi)士首先發(fā)布了微博提醒用戶，然后360官微在短時間內(nèi)集體出動轉(zhuǎn)發(fā)，繼而360安全衛(wèi)士啟動彈窗要求用戶停止使用搜狗。360也在其網(wǎng)站發(fā)布相關(guān)新聞，新聞中羅列出了眾多用戶爆出的搜狗瀏覽器安全漏洞問題，但這些用戶莫衷一是都是馬甲號，并且發(fā)布的爆料微博格式也極為相似。

搜狗公司認(rèn)為，在卡飯論壇出現(xiàn)搜狗樓頂?shù)奶又螅?60在未與搜狗取得聯(lián)系、確認(rèn)問題性質(zhì)的情況下，先后通過在微博發(fā)布公告、向全網(wǎng)用戶彈窗、發(fā)布視頻的方式，公布所謂漏洞的細(xì)節(jié)，這種行為違反了安全行業(yè)規(guī)則，其目的是打擊其競爭對手。

來源：新浪科技

• 

  廣告合作

• 

  QQ群號：4114653