《每日經(jīng)濟(jì)新聞》從某安全廠商下載到的360服務(wù)器泄露的log文件中看到����,360日志記錄十分詳盡����,例如某用戶在2010年12月8日至20日的23個(gè)日志中出現(xiàn)了268次�����,記錄了該用戶訪問(wèn)QQ空間,下載軟件�����,看在線電影��,使用百度搜索引擎的所有瀏覽頁(yè)面行為����。此外���,可看到網(wǎng)購(gòu)用戶姓名�����、郵箱、手機(jī)、送貨地址��、訂單金額����、快遞費(fèi),下單時(shí)間精確到秒����。
以20101216-urlreport.log為例�����,其記錄了上海淘寶用戶牛小姐12月16日,在淘寶網(wǎng)上購(gòu)買(mǎi)了一款“秋冬羊毛呢百褶裙109送皮帶”,拍下該物品的時(shí)間為2010年12月16日晚10時(shí)54分���,上述信息均在360的日志中記錄,其中包括牛小姐的電話、住址����、網(wǎng)絡(luò)訂單號(hào)等詳細(xì)信息�。
記者隨后從牛小姐處確認(rèn)了上述信息均為真實(shí)有效信息��,牛小姐也證實(shí)自己是360的用戶����。
對(duì)此����,淘寶公關(guān)人士對(duì)記者表示,目前淘寶網(wǎng)絡(luò)信息安全部已獲知該信息�����,也已介入調(diào)查��,相關(guān)細(xì)節(jié)暫無(wú)法對(duì)外公布。
360回應(yīng)引質(zhì)疑
在針對(duì)金山質(zhì)疑其收集用戶的隱私聲明中���,360表示沒(méi)有收集任何的用戶名和密碼信息,實(shí)際情況是極少數(shù)具有安全漏洞的網(wǎng)站將用戶名和密碼信息編寫(xiě)在網(wǎng)址URL中�,以便傳遞給其服務(wù)器進(jìn)行身份認(rèn)證����,而360軟件在通過(guò)惡意網(wǎng)址庫(kù)云查詢這些URL網(wǎng)址時(shí)�����,并不會(huì)主動(dòng)去識(shí)別其中的用戶名和密碼����,因此會(huì)在網(wǎng)址云安全查詢?nèi)罩局杏涗涍@些URL��。對(duì)于鑒別出的正常網(wǎng)頁(yè)���,其URL網(wǎng)址記錄會(huì)自動(dòng)從日志文件中刪除��。
金山網(wǎng)絡(luò)CEO傅盛表示�����,360作為一家安全軟件企業(yè),通過(guò)云安全收集惡意網(wǎng)址庫(kù)是理所當(dāng)然的����,但像淘寶這樣的知名大網(wǎng)站�,并不是惡意網(wǎng)址庫(kù)需要收集的���。
Joey也指出���,360白皮書(shū)中確實(shí)承認(rèn)“如果您訪問(wèn)的網(wǎng)址不在黑白名單列表中��,360安全瀏覽器會(huì)發(fā)送到360的服務(wù)器”,但像淘寶這樣的大網(wǎng)站居然不在360的“黑白名單列表”中�����,就不可思議了��。
針對(duì)上述質(zhì)疑���,360方面表示����,當(dāng)未知掛馬網(wǎng)頁(yè)觸發(fā)360網(wǎng)盾報(bào)警時(shí)����,用戶可能會(huì)同時(shí)打開(kāi)很多個(gè)網(wǎng)頁(yè)。目前技術(shù)上無(wú)法準(zhǔn)確判斷是哪個(gè)網(wǎng)頁(yè)觸發(fā)了報(bào)警�����,360網(wǎng)盾會(huì)將觸發(fā)報(bào)警時(shí)用戶同時(shí)打開(kāi)的網(wǎng)址(URL)一起上報(bào)至服務(wù)器�����。這也是為什么可疑惡意網(wǎng)址日志文件中會(huì)包含一些知名網(wǎng)站和內(nèi)網(wǎng)網(wǎng)址的原因���。
“從技術(shù)上準(zhǔn)確判斷哪個(gè)網(wǎng)址觸發(fā)報(bào)警其實(shí)并不困難�����。但是����,從泄露出來(lái)的日志信息來(lái)看,這些正常網(wǎng)址所占比例很高,并不像是‘將觸發(fā)報(bào)警時(shí)用戶同時(shí)打開(kāi)的網(wǎng)址一起上報(bào)至服務(wù)器’的������!盝oey表示。
金山自擺烏龍?
1月3日���,金山旗下網(wǎng)站pc120.com也被曝光流出大量用戶隱私,其中包括用戶名和密碼,這些用戶名和密碼已被各大搜索引擎抓取。
360方面人士對(duì)《每日經(jīng)濟(jì)新聞》記者表示��,在金山旗下網(wǎng)站大量用戶隱私信息被泄露之前�����,360公司副總裁譚曉生在第一時(shí)間以郵件的方式通知了金山董事長(zhǎng)雷軍和CEO傅盛�,也收到了金山安全專(zhuān)家李鐵軍的郵件回復(fù)��。
金山網(wǎng)絡(luò)市場(chǎng)部副總裁肖潔表示��,金山pc120.com是用戶主動(dòng)提交網(wǎng)址進(jìn)行查詢的獨(dú)立網(wǎng)站,那些包含部分個(gè)人隱私的內(nèi)容數(shù)據(jù)是網(wǎng)友自己上傳的��,金山已全部刪除這些信息�,并與收錄的搜索引擎積極聯(lián)系�����,消除影響。
Joey表示���,經(jīng)過(guò)驗(yàn)證��,金山提供了一個(gè)入口:http:/wangzhi.pc120.com/供用戶用來(lái)檢驗(yàn)網(wǎng)址是否安全�����,而之前曝光的用戶隱私搜索出來(lái)的正是這個(gè)地址的處理日志,“也就是說(shuō),這個(gè)是用戶主動(dòng)發(fā)起的�������!
“金山這個(gè)性質(zhì)不一樣��,360是主動(dòng)抓取用戶數(shù)據(jù),金山是被動(dòng)接受用戶提交。不過(guò)金山也確實(shí)犯了錯(cuò)誤,就是用戶提交的這些數(shù)據(jù)它沒(méi)有處理妥當(dāng)�����,還是公開(kāi)了��。這不能不說(shuō)也是個(gè)安全問(wèn)題���������!盝oey說(shuō)�����。
一位不愿意透露姓名的安全廠商表示,由于地區(qū)、人群分布的瀏覽報(bào)告對(duì)于電子商務(wù)非常有價(jià)值,國(guó)內(nèi)許多有渠道的廠商都在做類(lèi)似的數(shù)據(jù)分析�����。
著名互聯(lián)網(wǎng)專(zhuān)家謝文在接受媒體采訪時(shí)表示���,互聯(lián)網(wǎng)行業(yè)有個(gè)不成文的規(guī)矩�,只要用戶上了網(wǎng)���,他的很多信息就都是可以看到的�。包括谷歌、百度等公司����,都會(huì)自然生成cookie�,這個(gè)很容易被讀到����!暗@是產(chǎn)品提供商的問(wèn)題,現(xiàn)在要明確的問(wèn)題是�,360是否主觀故意在產(chǎn)品設(shè)計(jì)中系統(tǒng)地收集整理用戶隱私信息�,是否將這些信息進(jìn)行商業(yè)盈利����������! 本新聞共 2頁(yè),當(dāng)前在第 2頁(yè) 1 2 想認(rèn)識(shí)全國(guó)各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專(zhuān)家�,快來(lái)加入“中國(guó)創(chuàng)業(yè)圈”
|
