《每日經濟新聞》從某安全廠商下載到的360服務器泄露的log文件中看到,360日志記錄十分詳盡,例如某用戶在2010年12月8日至20日的23個日志中出現了268次,記錄了該用戶訪問QQ空間,下載軟件,看在線電影,使用百度搜索引擎的所有瀏覽頁面行為。此外,可看到網購用戶姓名、郵箱、手機、送貨地址、訂單金額、快遞費,下單時間精確到秒。
以20101216-urlreport.log為例,其記錄了上海淘寶用戶牛小姐12月16日,在淘寶網上購買了一款“秋冬羊毛呢百褶裙109送皮帶”,拍下該物品的時間為2010年12月16日晚10時54分,上述信息均在360的日志中記錄,其中包括牛小姐的電話、住址、網絡訂單號等詳細信息。
記者隨后從牛小姐處確認了上述信息均為真實有效信息,牛小姐也證實自己是360的用戶。
對此,淘寶公關人士對記者表示,目前淘寶網絡信息安全部已獲知該信息,也已介入調查,相關細節暫無法對外公布。
360回應引質疑
在針對金山質疑其收集用戶的隱私聲明中,360表示沒有收集任何的用戶名和密碼信息,實際情況是極少數具有安全漏洞的網站將用戶名和密碼信息編寫在網址URL中,以便傳遞給其服務器進行身份認證,而360軟件在通過惡意網址庫云查詢這些URL網址時,并不會主動去識別其中的用戶名和密碼,因此會在網址云安全查詢日志中記錄這些URL。對于鑒別出的正常網頁,其URL網址記錄會自動從日志文件中刪除。
金山網絡CEO傅盛表示,360作為一家安全軟件企業,通過云安全收集惡意網址庫是理所當然的,但像淘寶這樣的知名大網站,并不是惡意網址庫需要收集的。
Joey也指出,360白皮書中確實承認“如果您訪問的網址不在黑白名單列表中,360安全瀏覽器會發送到360的服務器”,但像淘寶這樣的大網站居然不在360的“黑白名單列表”中,就不可思議了。
針對上述質疑,360方面表示,當未知掛馬網頁觸發360網盾報警時,用戶可能會同時打開很多個網頁。目前技術上無法準確判斷是哪個網頁觸發了報警,360網盾會將觸發報警時用戶同時打開的網址(URL)一起上報至服務器。這也是為什么可疑惡意網址日志文件中會包含一些知名網站和內網網址的原因。
“從技術上準確判斷哪個網址觸發報警其實并不困難。但是,從泄露出來的日志信息來看,這些正常網址所占比例很高,并不像是‘將觸發報警時用戶同時打開的網址一起上報至服務器’的。”Joey表示。
金山自擺烏龍?
1月3日,金山旗下網站pc120.com也被曝光流出大量用戶隱私,其中包括用戶名和密碼,這些用戶名和密碼已被各大搜索引擎抓取。
360方面人士對《每日經濟新聞》記者表示,在金山旗下網站大量用戶隱私信息被泄露之前,360公司副總裁譚曉生在第一時間以郵件的方式通知了金山董事長雷軍和CEO傅盛,也收到了金山安全專家李鐵軍的郵件回復。
金山網絡市場部副總裁肖潔表示,金山pc120.com是用戶主動提交網址進行查詢的獨立網站,那些包含部分個人隱私的內容數據是網友自己上傳的,金山已全部刪除這些信息,并與收錄的搜索引擎積極聯系,消除影響。
Joey表示,經過驗證,金山提供了一個入口:http:/wangzhi.pc120.com/供用戶用來檢驗網址是否安全,而之前曝光的用戶隱私搜索出來的正是這個地址的處理日志,“也就是說,這個是用戶主動發起的。”
“金山這個性質不一樣,360是主動抓取用戶數據,金山是被動接受用戶提交。不過金山也確實犯了錯誤,就是用戶提交的這些數據它沒有處理妥當,還是公開了。這不能不說也是個安全問題。”Joey說。
一位不愿意透露姓名的安全廠商表示,由于地區、人群分布的瀏覽報告對于電子商務非常有價值,國內許多有渠道的廠商都在做類似的數據分析。
著名互聯網專家謝文在接受媒體采訪時表示,互聯網行業有個不成文的規矩,只要用戶上了網,他的很多信息就都是可以看到的。包括谷歌、百度等公司,都會自然生成cookie,這個很容易被讀到。“但這是產品提供商的問題,現在要明確的問題是,360是否主觀故意在產品設計中系統地收集整理用戶隱私信息,是否將這些信息進行商業盈利。”
想認識全國各地的創業者、創業專家,快來加入“中國創業圈”
|
