繼金山披露奇虎360涉嫌國內互聯網重大網民隱私泄露事件后,360也再一次將矛頭指向金山。
前日(1月3日),360公司公開表示,通過百度、谷歌、搜狗、必應、搜搜等各大搜索引擎,可以搜索到大量金山從用戶電腦上傳的網址記錄,其中不乏用戶名和密碼。通過金山官方的pc120.com網站,任何人都可以公開查詢到這些網址,包括其中包含的用戶名和密碼。
就在去年12月31日,金山緊急召開發布會,披露國內互聯網重大網民隱私泄露事件:360客戶端正悄然收集其用戶的個人隱私資料,其中包括用戶訪問網站記錄、搜索記錄以及用戶名密碼等諸多信息,而更進一步的是,這些資料目前已經從360官方服務器上向外界擴散。
值得注意的是,昨日下午,金山網絡替換了其官網首頁“360泄密”事件相關文章,奇虎360則臨時取消了相關的媒體溝通會,雙方同時“收手”引起網民的極大關注。有網友稱,或因為相關部門介入此事。
風波緣起
去年12月31日上午6時38分,有網友在百度貼吧上報料稱:看看360都收集了什么,隨機發了相關鏈接地址。
11時,金山網絡稱接到用戶舉報,舉報者稱其在網絡上搜索到自己的用戶名和密碼等信息,懷疑電腦中毒,要求協助解決。
金山網絡工程師李鐵軍在接受《每日經濟新聞》采訪時表示,接到舉報后,金山立即幫助用戶進行解決排查,并在解決過程中通過搜索引擎谷歌發現在互聯網上存在一個巨大的用戶隱私信息包,經過追蹤,發現該隱私數據包來自360官方服務器,里面包含大量網民上網行為記錄以及用戶名、密碼等信息。
14時,金山網絡技術部門召開緊急會議,分析認為此類數據并非安全軟件應該收集的記錄。這也就意味著,360是在用戶不知情的情況下收集隱私數據。經過工程師進一步對數據包分析,發現其中包括網民在百度搜索關鍵字、淘寶購物記錄、金蝶等企業內部財務網絡數據、某政府機構官方郵箱用戶名及密碼等鏈接數據。
國際上知名互聯網安全組織OWASP中國區西南地區負責人Joey在接受《每日經濟新聞》采訪時表示,在看到金山發布的消息后,也曾經到谷歌快照下載了從360服務器外泄的日志文件。“由于360第一時間就刪除了該數據,但是在谷歌的快照里還可以下載,不過要‘爬墻’。”
Joey指出,在他所下載的總量不超過10%的日志中,感觸最深的就是,這些日志中記錄了非常詳細的用戶信息,每臺電腦,瀏覽了什么地址,打開了哪些頁面,搜索了什么關鍵詞,“甚至有一部分用戶名密碼都在里面,光我下載的部分,涉及到用戶名密碼的就達到200多個。”
泄密確有其事?
Joey認為,“360收錄的確實是隱私內容。”據其透露,在利用360收集的用戶行為日志中找到了攜程某代理商的身份認證信息,并成功進入該代理商的攜程管理后臺。從他手里掌握的已經過濾的達幾百個密碼文件,因為時間問題并沒有挨個進行驗證,不過都是各類管理系統后臺、論壇、郵箱。
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
