現在是互聯網時代,特別是隨著智能手機的興起,人們幾乎必須依靠網絡才能生存下去。網絡讓人們的工作、生活更方便了。然而,如果重要的個人隱私信息得不到堅強的安全保障,就有可能威脅到個人財產安全。然而,近日爆出的“搜狗泄密門”一案,不僅攪動了互聯網江湖,而且將網絡隱私的安全危機再次擺在了社會面前。
緣起:一個安全論壇上的偶然發現
11月4日,在著名的安全網站卡飯論壇里,有網友發帖稱,在將搜狗瀏覽器更新到4.2版后,使用QQ賬號登錄搜狗瀏覽器,退出登錄時發現,搜狗瀏覽器通過智能填表功能,自動下載了許多密碼、用戶名以及收藏夾等信息,這些信息都不是他自己保存的。包括QQ、郵箱、支付寶、銀行等涉及用戶財產的賬戶信息,隨便點擊一個就可以直接用他人的賬號登錄并進行正常操作,甚至可以進行網上購物。同時他還在網絡上發布了照片和視頻。
當晚11時許有媒體記者發現,原帖已經被刪除,目前在網上流傳的都是復制或截圖版本。次日凌晨零時許,該記者再次按照該網帖的操作步驟,更新了搜狗瀏覽器4.2版本后進行登錄、退出,然后使用智能填表功能,但并未發現有其他用戶的信息被下載。
360、烏云確認搜狗存在漏洞,搜狗否認
11月5日上午10點40分,360通過微博發布“搜狗重大安全漏洞”,稱接到用戶反饋,通過驗證確認“這是搜狗瀏覽器將大量用戶賬戶密碼及收藏夾同步到了他人電腦所致。”360稱已緊急通知國家互聯網應急中心和搜狗公司,并請搜狗瀏覽器用戶務必修改所有賬戶密碼,在搜狗修復漏洞之前暫停使用。
下午3時53分,搜狗通過微博發布了致用戶書。搜狗表示,在當天發現網帖后立即組織技術團隊進行了查證,確認網上所傳的現象并不存在。同時,搜狗稱一直重視隱私的保護,并暗示此次事件是競爭對手發起的不正當競爭,稱不放棄“包括法律在內的各種途徑”。
6分鐘過后,著名的漏洞報告平臺發布報告,確認了該漏洞的存在。烏云報告確認“搜狗瀏覽器存在重大安全漏洞,可以直接登陸數千賬戶”,稱該漏洞類型為“網絡敏感信息泄露”,危害等級為“高”,烏云稱已將漏洞報告給了搜狗。烏云是與CNCERT/CC(國家計算機網絡應急技術處理協調中心)、國家信息安全漏洞共享中心等國家權威機構深度合作的專業漏洞報告平臺,其平臺上已經報告的數百個漏洞中無一錯報。
11月5日21:13分,360通過微博發布,稱“正告搜狗:提醒用戶修改密碼,比掩飾漏洞更重要!搜狗瀏覽器漏洞真實存在,360安全中心接到用戶反饋后,已多次測試,并經過公證處錄制具有法律效力的視頻資料。我們希望看到此消息的朋友,馬上通知您身邊曾經使用過搜狗瀏覽器的朋友,盡快修改密碼,減少損失和風險!”
央視記者親身經歷搜狗漏洞
針對搜狗瀏覽器漏洞導致部分用戶隱私信息泄露,央視新聞頻道于5日當晚進行了追蹤報道。在報道中,央視記者親自驗證了搜狗瀏覽器漏洞的整個過程,并錄制了搜狗瀏覽器“泄密”視頻。
央視記者在一臺只有基本應用程序的電腦中下載安裝搜狗瀏覽器,點擊搜狗瀏覽器的賬號登錄系統,使用QQ賬號和密碼進行注冊和登陸,隨后退出該系統。隨后,他在工具欄里點擊“智能填表”,再選擇管理表單數據。隨后,網頁上就會彈出一個表單,顯示淘寶、QQ郵箱、公積金、12306火車訂票系統等,繼續點擊,就出現了賬號密碼等信息。
央視記者發現,這些賬號是從來沒有使用過的他人賬號。為了驗證這些賬號的真實性,他使用搜狗瀏覽器打開淘寶網站,再次點擊智能填表系統中的“填寫當前表單”,瀏覽器自動進入該用戶的賬戶系統。
據央視記者現場粗略統計,搜狗瀏覽器泄露的用戶賬號密碼數量約有上千個。
專家:“搜狗11.5泄密門”規模罕見
長城重點安全實驗室主任陳亮表示,他們安排人員進行了測試,并未發現密碼泄露的情況,說明該漏洞已被修復;但他們發現,在用搜狗瀏覽器登錄時進行賬戶切換,查看歷史記錄會發現一些自己并沒有訪問過的網站。
對于造成個人信息泄漏的原因,陳亮認為,搜狗瀏覽器可能并未對瀏覽器的“智能填表”功能進行嚴格的安全測試,專業人士對新產品進行測試的時候,意外地接通了搜狗的后臺管理系統,進而無條件下載到了其他用戶的瀏覽信息;此外,還有一種可能性是搜狗瀏覽器的數據庫出現了錯誤。陳亮稱,這個問題并非最近才存在,之前搜狗瀏覽器就存在記錄賬號和密碼并暗中上傳的情況。
知名安全廠商瀚海源CEO方興則表示,這次的安全漏洞問題可能出在搜狗瀏覽器的云同步上,第一,無法確認搜狗瀏覽器的云同步是否得到用戶授權;第二,能夠同步到其他用戶的信息,可能內部管理問題。
搜狗泄密了,用戶怎么辦?
長城重點安全實驗室主任陳亮認為,大部分用戶缺乏安全意識,所有網站都使用一套密碼,而搜狗的智能填表功能可以很方便地進行登錄,但存在安全隱患。因此,在日常使用時千萬不要“一套密碼走天下”,密碼長度要大于6位,而且要有特殊字符。同時盡量不對密碼和用戶名進行保存;在使用瀏覽器時不建議安裝插件。
有技術專家建議說,在搜狗公司修復此漏洞之前,建議用戶暫停使用搜狗瀏覽器;如果用戶曾經使用搜狗瀏覽器登陸過,也須立刻修改全部密碼,尤其是涉及到銀行、支付寶、游戲帳號、云存儲、郵箱等財產和隱私數據的賬戶。
廠商反應:已經采取技術措施予以防范,并提示用戶相關風險
網易郵箱:正在核實相關問題的原因,建議用戶暫停使用搜狗瀏覽器產品,同時為了帳號安全考慮,郵箱密碼及時修改,并及時清空并重置密保信息綁定手機和設置二次驗證登錄。
銀行:針對央視報道搜狗瀏覽器被曝存明顯漏洞,有可能危及數千萬網銀賬戶的安全,招行、建行、工行等多家銀行客服部門回復稱,目前已經把相關情況反饋給有關部門。招商銀行客服人員表示,目前尚未接到相關的用戶投訴,但是本著為用戶負責的態度,已經將問題反饋給有關部門處理。同時建議,用戶應該提高警惕,或通過及時修改網上銀行密碼等措施來解決相關隱患。
12306網站:有網友證實,通過搜狗瀏覽器“漏洞”,下載查看到大量其他用戶信息,其中包括12306賬號等。對此,12306表示已經將此問題反饋給技術部門,目前正在等待技術部門的正式通知,對于上述問題,一經查實12306會有相應的技術措施應對,防范用戶相關賬號個人信息的泄露,避免給用戶造成更大的損失。
支付寶:支付寶已經通過郵件建議用戶修改密碼。本記
