11月5日,卡飯安全論壇曝光搜狗瀏覽器存在重大安全漏洞,用戶可以通過登陸搜狗瀏覽器,下載查看大量其他用戶的賬號(hào)密碼信息,有網(wǎng)友證實(shí)這些賬號(hào)信息包括銀行網(wǎng)銀、支付寶、郵箱等涉及用戶財(cái)產(chǎn)的內(nèi)容。記者電話采訪招行、建行、工行等多家銀行,相關(guān)銀行客服部門回復(fù)稱,目前已經(jīng)把相關(guān)情況反饋給有關(guān)部門。此前已經(jīng)有媒體報(bào)道稱,此次搜狗瀏覽器被曝存明顯漏洞有可能危及數(shù)千萬網(wǎng)銀賬戶的安全。
今早有用戶在專業(yè)技術(shù)卡飯論壇上稱,使用QQ帳號(hào)登錄搜狗瀏覽器,可以查看到數(shù)千其他用戶的個(gè)人賬號(hào),包括QQ、郵箱、支付寶、銀行等涉及用戶財(cái)產(chǎn)的賬戶信息,甚至可以直接進(jìn)入其他人的支付寶進(jìn)行轉(zhuǎn)賬購(gòu)物,甚至直接支付交易。而且有用戶反饋,在收藏夾里保存的都不是用戶個(gè)人的信息,而是一些其它用戶的信息,其中包括海量的網(wǎng)銀賬號(hào)信息和密碼。
記者電話連線招行客服了解到,目前尚未接到相關(guān)的用戶投訴,但是本著為用戶負(fù)責(zé)的態(tài)度,已經(jīng)將問題反饋給有關(guān)部門處理。銀行方面表示,用戶應(yīng)該提高警惕,或通過及時(shí)修改網(wǎng)上銀行密碼等措施來解決相關(guān)隱患。
知名安全廠商瀚海源CEO方興表示,這次的安全漏洞問題可能出在搜狗瀏覽器的云同步上,第一,無法確認(rèn)搜狗瀏覽器的云同步是否得到用戶授權(quán);第二,能夠同步到其他用戶的信息,可能內(nèi)部管理問題。
長(zhǎng)城重點(diǎn)安全實(shí)驗(yàn)室主任陳亮稱,搜狗瀏覽器的問題確實(shí)存在,目前爆料的一些情況可能已經(jīng)被修復(fù),但是換個(gè)賬號(hào)重新注冊(cè),仍然可以在最愛訪問網(wǎng)站里,羅列出一大堆網(wǎng)站,這些并不是本人訪問過的網(wǎng)站。這個(gè)問題并非最近才存在,之前搜狗瀏覽器就存在記錄賬號(hào)和密碼并暗中上傳的情況。
搜狗方面與當(dāng)日下午16時(shí)左右發(fā)布聲明,否認(rèn)存在該漏洞,但未對(duì)公布的錄像證據(jù)以及用戶所遭遇的具體問題作出解釋。
2013年6月業(yè)內(nèi)知名烏云漏洞報(bào)告平臺(tái)發(fā)布微博稱:“發(fā)現(xiàn)微博瘋傳搜狗輸入法泄密事件,搜狗輸入法可導(dǎo)致大量用戶敏感信息泄露。”被披露的漏洞出自搜狗手機(jī)輸入法中的“多媒體輸入”功能,借助這一功能,用戶能與他人分享圖片、語音、文字等信息。具體實(shí)現(xiàn)方式是:將要分享的信息上傳到搜狗服務(wù)器中,形成一個(gè)可以點(diǎn)擊查看的鏈接。
在搜狗公司隨后在接受媒體采訪時(shí),對(duì)烏云漏洞報(bào)告平臺(tái)所披露的搜狗漏洞只字未提平臺(tái),只是表示用戶的“多媒體輸入”信息泄漏,問題出在微軟的搜索引擎抓取中。
有網(wǎng)友表示,上次只是能看到其他用戶的圖片、語音、文字等信息,但這次搜狗瀏覽器的安全漏洞已經(jīng)直接影響到數(shù)千萬用戶的隱私和財(cái)產(chǎn)安全。
近年來,國(guó)內(nèi)國(guó)際的網(wǎng)銀案件時(shí)有發(fā)生,網(wǎng)上金融安全、個(gè)人數(shù)據(jù)保護(hù)已經(jīng)成為公眾關(guān)注的焦點(diǎn)。銀監(jiān)會(huì)已經(jīng)先后出臺(tái)了一系列的風(fēng)險(xiǎn)監(jiān)管指引和辦法,加強(qiáng)商業(yè)銀行的科技風(fēng)險(xiǎn)管理。針對(duì)網(wǎng)上銀行的安全銀監(jiān)會(huì)先后出臺(tái)了有關(guān)的商業(yè)銀行、電子銀行的辦法和指引。 早在2012中國(guó)電子銀行聯(lián)合宣傳年啟動(dòng)儀式上,銀監(jiān)會(huì)信息中心信息科技風(fēng)險(xiǎn)監(jiān)管處有關(guān)負(fù)責(zé)人就表示表示,銀監(jiān)會(huì)將持續(xù)地加強(qiáng)和公安、工信等部門的協(xié)同,采取綜合防范措施,防控風(fēng)險(xiǎn)。
