前日(1月3日),360公司公开表示,通过百度、谷歌、搜狗、必应、搜搜等各大搜索引擎,可以搜索到大量金山从用户电脑上传的网址记录,其中不乏用户名和密码。通过金山官方的pc120.com网站,任何人都可以公开查询到这些网址,包括其中包含的用户名和密码。
就在去年12月31日,金山紧急召开发布会,披露国内互联网重大网民隐私泄露事件:360客户端正悄然收集其用户的个人隐私资料,其中包括用户访问网站记录、搜索记录以及用户名密码等诸多信息,而更进一步的是,这些资料目前已经从360官方服务器上向外界扩散。
值得注意的是,昨日下午,金山网络替换了其官网首页 “360泄密”事件相关文章,奇虎360则临时取消了相关的媒体沟通会,双方同时“收手”引起网民的极大关注。有网友称,或因为相关部门介入此事。
风波缘起
去年12月31日上午6时38分,有网友在百度贴吧上报料称:看看360都收集了什么,随机发了相关链接地址。
11时,金山网络称接到用户举报,举报者称其在网络上搜索到自己的用户名和密码等信息,怀疑电脑中毒,要求协助解决。
金山网络工程师李铁军(微博)在接受《每日经济新闻》采访时表示,接到举报后,金山立即帮助用户进行解决排查,并在解决过程中通过搜索引擎谷歌发现在互联网上存在一个巨大的用户隐私信息包,经过追踪,发现该隐私数据包来自360官方服务器,里面包含大量网民上网行为记录以及用户名、密码等信息。
14时,金山网络技术部门召开紧急会议,分析认为此类数据并非安全软件应该收集的记录。这也就意味着,360是在用户不知情的情况下收集隐私数据。经过工程师进一步对数据包分析,发现其中包括网民在百度搜索关键字、淘宝购物记录、金蝶等企业内部财务网络数据、某政府机构官方邮箱用户名及密码等链接数据。
国际上知名互联网安全组织OWASP中国区西南地区负责人Joey在接受 《每日经济新闻》采访时表示,在看到金山发布的消息后,也曾经到谷歌快照下载了从360服务器外泄的日志文件。“由于360第一时间就删除了该数据,但是在谷歌的快照里还可以下载,不过要‘爬墙’。”
Joey指出,在他所下载的总量不超过10%的日志中,感触最深的就是,这些日志中记录了非常详细的用户信息,每台电脑,浏览了什么地址,打开了哪些页面,搜索了什么关键词,“甚至有一部分用户名密码都在里面,光我下载的部分,涉及到用户名密码的就达到200多个。”
泄密确有其事?
Joey认为,“360收录的确实是隐私内容。”据其透露,在利用360收集的用户行为日志中找到了携程某代理商的身份认证信息,并成功进入该代理商的携程管理后台。从他手里掌握的已经过滤的达几百个密码文件,因为时间问题并没有挨个进行验证,不过都是各类管理系统后台、论坛、邮箱。
《每日经济新闻》从某安全厂商下载到的360服务器泄露的log文件中看到,360日志记录十分详尽,例如某用户在2010年12月8日至20日的23个日志中出现了268次,记录了该用户访问QQ空间,下载软件,看在线电影,使用百度搜索引擎的所有浏览页面行为。此外,可看到网购用户姓名、邮箱、手机、送货地址、订单金额、快递费,下单时间精确到秒。
以20101216-urlreport.log为例,其记录了上海淘宝用户牛小姐12月16日,在淘宝网上购买了一款“秋冬羊毛呢百褶裙109送皮带”,拍下该物品的时间为2010年12月16日晚10时54分,上述信息均在360的日志中记录,其中包括牛小姐的电话、住址、网络订单号等详细信息。
记者随后从牛小姐处确认了上述信息均为真实有效信息,牛小姐也证实自己是360的用户。
对此,淘宝公关人士对记者表示,目前淘宝网络信息安全部已获知该信息,也已介入调查,相关细节暂无法对外公布。
360回应引质疑
在针对金山质疑其收集用户的隐私声明中,360表示没有收集任何的用户名和密码信息,实际情况是极少数具有安全漏洞的网站将用户名和密码信息编写在网址URL中,以便传递给其服务器进行身份认证,而360软件在通过恶意网址库云查询这些URL网址时,并不会主动去识别其中的用户名和密码,因此会在网址云安全查询日志中记录这些URL。对于鉴别出的正常网页,其URL网址记录会自动从日志文件中删除。
金山网络CEO傅盛(微博)表示,360作为一家安全软件企业,通过云安全收集恶意网址库是理所当然的,但像淘宝这样的知名大网站,并不是恶意网址库需要收集的。
Joey也指出,360白皮书中确实承认“如果您访问的网址不在黑白名单列表中,360安全浏览器会发送到360的服务器”,但像淘宝这样的大网站居然不在360的 “黑白名单列表”中,就不可思议了。
针对上述质疑,360方面表示,当未知挂马网页触发360网盾报警时,用户可能会同时打开很多个网页。目前技术上无法准确判断是哪个网页触发了报警,360网盾会将触发报警时用户同时打开的网址(URL)一起上报至服务器。这也是为什么可疑恶意网址日志文件中会包含一些知名网站和内网网址的原因。
“从技术上准确判断哪个网址触发报警其实并不困难。但是,从泄露出来的日志信息来看,这些正常网址所占比例很高,并不像是‘将触发报警时用户同时打开的网址一起上报至服务器’的。”Joey表示。
金山自摆乌龙?
1月3日,金山旗下网站pc120.com也被曝光流出大量用户隐私,其中包括用户名和密码,这些用户名和密码已被各大搜索引擎抓取。
360方面人士对 《每日经济新闻》记者表示,在金山旗下网站大量用户隐私信息被泄露之前,360公司副总裁谭晓生在第一时间以邮件的方式通知了金山董事长雷军(微博)和CEO傅盛,也收到了金山安全专家李铁军的邮件回复。
金山网络市场部副总裁肖洁表示,金山pc120.com是用户主动提交网址进行查询的独立网站,那些包含部分个人隐私的内容数据是网友自己上传的,金山已全部删除这些信息,并与收录的搜索引擎积极联系,消除影响。
Joey表示,经过验证,金山提供了一个入口:http:/wangzhi.pc120.com/供用户用来检验网址是否安全,而之前曝光的用户隐私搜索出来的正是这个地址的处理日志,“也就是说,这个是用户主动发起的。”
“金山这个性质不一样,360是主动抓取用户数据,金山是被动接受用户提交。不过金山也确实犯了错误,就是用户提交的这些数据它没有处理妥当,还是公开了。这不能不说也是个安全问题。”Joey说。
一位不愿意透露姓名的安全厂商表示,由于地区、人群分布的浏览报告对于电子商务非常有价值,国内许多有渠道的厂商都在做类似的数据分析。
著名互联网专家谢文在接受媒体采访时表示,互联网行业有个不成文的规矩,只要用户上了网,他的很多信息就都是可以看到的。包括谷歌、百度等公司,都会自然生成cookie,这个很容易被读到。“但这是产品提供商的问题,现在要明确的问题是,360是否主观故意在产品设计中系统地收集整理用户隐私信息,是否将这些信息进行商业盈利。”