搜狗稱對手抹黑
“有可能是一次罕見的互聯(lián)網(wǎng)安全事故”
連日來,“搜狗瀏覽器泄密事件”持續(xù)發(fā)酵。
11月7日下午,360公司召開媒體發(fā)布會,宣稱搜狗瀏覽器出現(xiàn)了重大的安全事故,導致大量用戶網(wǎng)銀、支付賬戶以及企事業(yè)內(nèi)部系統(tǒng)賬戶信息泄露。與此同時,360公布了搜狗收集用戶隱私信息并泄露的相關資料證據(jù),稱此次由于泄密而導致的重大安全事故有可能是一次罕見的互聯(lián)網(wǎng)安全事故。
360公司副總裁曲曉東介紹說,11月5日,360公司接到用戶反饋,稱在使用個人QQ賬戶登錄搜狗瀏覽器時可以查看到大量其他用戶的賬號和密碼,使用這些賬號和密碼可以直接登錄到這些賬戶。360公司立即組織技術人員對這一重大安全事故開展驗證,經(jīng)驗證,相關信息屬實。
曲曉東稱,搜狗泄密是一次罕見的互聯(lián)網(wǎng)安全事故,被泄露的用戶賬號信息主要包括三類:登錄賬號和密碼、收藏夾數(shù)據(jù)和上網(wǎng)歷史記錄;遭到泄露的用戶賬戶類型主要有電子郵箱、社交媒體、電商、電子支付、手機應用賬戶、電信運營商、政府、高校和企業(yè)內(nèi)部管理系統(tǒng)等。此次能夠獲取到泄露數(shù)據(jù)的版本是搜狗瀏覽器4.2版本,但其他版本的搜狗瀏覽器登錄賬戶和密碼,都可能被泄露到使用搜狗瀏覽器4.2版本的用戶電腦中。由于搜狗瀏覽器的自動填表功能是默認開啟的,而且搜狗瀏覽器4.2版本已經(jīng)作為正式版在推廣,因此此次安全事件影響面非常廣。搜狗瀏覽器擁有幾千萬用戶,泄露的賬號密碼分類非常廣泛,并且泄露時間持續(xù)至少1周以上。目前,沒有其他產(chǎn)品出現(xiàn)過這種大規(guī)模的用戶信息泄露問題,這是互聯(lián)網(wǎng)瀏覽器歷史上罕見的安全事故。
記者致電工信部、國家互聯(lián)網(wǎng)應急中心相關領導,他們均表示已關注此事,正在調(diào)查。
“泄密原因有可能是因為設計缺陷”
在發(fā)布會現(xiàn)場,360向媒體播放了一段視頻。該視頻顯示,在一臺只有基本應用程序的電腦中,下載安裝搜狗瀏覽器,點擊搜狗瀏覽器的賬號登錄系統(tǒng),使用QQ賬號和密碼進行注冊和登錄,雙擊退出該系統(tǒng);然后,在工具欄里點擊“智能填表”,再選擇管理表單數(shù)據(jù),網(wǎng)頁上就會彈出一個表單;繼續(xù)點擊,就會出現(xiàn)大量不同用戶的個人賬號、密碼等信息。視頻顯示,使用這些賬號和密碼能夠進入這些用戶的淘寶、郵箱、QQ。
360技術人員在現(xiàn)場分析說,導致泄密的原因,是搜狗瀏覽器具有的自動填表功能,這個功能會把用戶的賬號和密碼上傳到搜狗服務器上。當用戶再次使用搜狗瀏覽器的時候,搜狗會把收集的用戶賬號和密碼從服務器回傳到瀏覽器上,以方便用戶使用。“然而,由于搜狗的軟件在同步方面存在設計缺陷,用戶退出后,會觸發(fā)該設計錯誤,導致服務器將大量其他用戶的賬號和密碼回傳到瀏覽器上,除了賬號和密碼外,還包括其他用戶的收藏夾信息、歷史記錄等。”該技術人員說。
11月5日下午,漏洞報告平臺WooYun(烏云)已經(jīng)發(fā)布了搜狗瀏覽器存在漏洞的消息。中央電視臺《24小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細報道了記者驗證該漏洞信息的全過程。360建議用戶及企事業(yè)單位應盡快更換密碼。360稱,對于曾經(jīng)使用過搜狗瀏覽器自動填表功能的用戶,目前必須要做的就是修改所有登錄或保存過的賬號密碼,包括電子郵箱、社交媒體、電商網(wǎng)站、電子支付平臺、手機應用賬戶、政府信息管理系統(tǒng)、公用事業(yè)信息平臺、電信服務、高校內(nèi)部管理信息系統(tǒng)、企業(yè)內(nèi)部管理系統(tǒng)等。而對于提供互聯(lián)網(wǎng)軟件服務的公司,應謹慎收集用戶的隱私數(shù)據(jù),特別是賬號密碼等,并應提供高級別的安全加密措施,保證用戶個人信息不被解密,以及不同用戶之間數(shù)據(jù)的隔離。
搜狗回應稱360抹黑
對于360的行動,記者看到,搜狗公司于11月5日在網(wǎng)上公開發(fā)表聲明稱,從11月5日開始,360公司經(jīng)過精心策劃和導演,先后操縱論壇ID、微博水軍及傳媒,并動用360導航、彈窗等手段,對搜狗瀏覽器再次進行了抹黑。
搜狗堅稱搜狗瀏覽器安全可靠,并無所謂漏洞,請廣大用戶放心使用。針對360向媒體播放的證據(jù)視頻,搜狗公司稱,360的視頻不能為它的抹黑說法提供任何證明,只要通過賬號同步功能,在A電腦上用某個QQ賬號登錄瀏覽器后,同時在B電腦瀏覽器上登錄同一個QQ賬號,即可導入表單數(shù)據(jù),再同步到A電腦上,這是賬號同步機制正常的功能特性。
7日上午,搜狗通過輸入法彈窗再次向用戶發(fā)布公告,以“360 安全衛(wèi)士抹黑搜狗 炮制史上最惡劣造謠事件”為題,點名指責360安全衛(wèi)士并列舉了六大罪狀:“360花錢買槍手被曝光”、“聲明論壇賬號系被盜用發(fā)帖”、“360論壇視頻證據(jù)涉嫌作假”、“動用大批水軍”、“大量網(wǎng)友已驗證并不能重現(xiàn)360所謂漏洞”、“第一時間忙著攻擊對手而非遵循安全規(guī)范”。
業(yè)內(nèi)人士表示,搜狗這一舉動無疑助推了此次事件的發(fā)酵。也有網(wǎng)友表示,這是搜狗對360全面“開戰(zhàn)”的標志。
