一個(gè)安全論壇上的偶然發(fā)現(xiàn),揭開了中國網(wǎng)絡(luò)安全本年度的最大事件,引起了一場軒然大波。
11月5日,卡飯論壇上有網(wǎng)友反應(yīng)搜狗瀏覽器存在重大安全漏洞,隨后360發(fā)出安全提示,稱搜狗瀏覽器“智能填表”功能出現(xiàn)重大漏洞,并呼吁用戶盡快更換密碼。之后,圍繞搜狗瀏覽器的紛爭繼續(xù)在整個(gè)互聯(lián)網(wǎng)乃至社會(huì)層面不斷發(fā)酵。
《國際金融報(bào)》記者昨日獲得最新消息顯示:工信部已經(jīng)關(guān)注此事件的發(fā)展,將積極應(yīng)對和有效處置各類網(wǎng)絡(luò)安全威脅,嚴(yán)厲打擊泄露用戶個(gè)人信息的行為。搜狗泄密事件究竟從何而起,如何了結(jié)?
網(wǎng)曝搜狗泄密
安全專家親身驗(yàn)證
11月4日,在著名的安全網(wǎng)站論壇里,有網(wǎng)友發(fā)現(xiàn),在搜狗升級瀏覽器后,使用QQ賬號登錄搜狗瀏覽器,退出后搜狗瀏覽器自動(dòng)同步了其他用戶的自動(dòng)填表信息和收藏夾等內(nèi)容,包括QQ、郵箱、支付寶、銀行等涉及用戶財(cái)產(chǎn)的賬戶信息,甚至可以直接進(jìn)入其他人的支付寶進(jìn)行轉(zhuǎn)賬購物,直接支付交易。
11月5日,360通過微博發(fā)布“搜狗重大安全漏洞”,稱接到用戶反饋,通過驗(yàn)證確認(rèn)這是搜狗瀏覽器將大量用戶賬戶密碼及收藏夾同步到了他人電腦所致。360方面表示,已緊急通知國家互聯(lián)網(wǎng)應(yīng)急中心和搜狗公司,并請搜狗瀏覽器用戶務(wù)必修改所有賬戶密碼,在搜狗修復(fù)漏洞之前暫停使用。下午4點(diǎn)左右,著名的漏洞報(bào)告平臺烏云發(fā)布報(bào)告,確認(rèn)了該漏洞的存在,并稱已將漏洞報(bào)告給了搜狗。
針對搜狗瀏覽器漏洞導(dǎo)致部分用戶隱私信息泄露,央視新聞?lì)l道當(dāng)晚進(jìn)行了追蹤報(bào)道。
國內(nèi)知名安全專家,OWASP北京負(fù)責(zé)人、長城中電安全實(shí)驗(yàn)室主任陳亮此前在接受媒體采訪時(shí)表示,他在看到相關(guān)消息后,馬上對此漏洞進(jìn)行了驗(yàn)證,確認(rèn)該漏洞確實(shí)存在。
對此,中國電子商務(wù)研究中心主任曹磊在接受《國際金融報(bào)》記者采訪時(shí)表示:“類似的用戶個(gè)人信息泄露在互聯(lián)網(wǎng)領(lǐng)域普遍存在。所謂個(gè)人信息包括2類,一類是姓名、住址等基本信息;另一類是賬戶、密碼等交易類信息。”
搜狗快速反應(yīng)
不存在安全事故
搜狗方面也做出了快速的反應(yīng)。11月5日下午3時(shí)53分,搜狗通過微博發(fā)布了致用戶書。搜狗表示,在發(fā)現(xiàn)網(wǎng)帖后立即組織技術(shù)團(tuán)隊(duì)進(jìn)行了查證,確認(rèn)網(wǎng)上所傳的現(xiàn)象并不存在。同時(shí),搜狗稱一直重視隱私的保護(hù)。
搜狗方面表示,搜狗瀏覽器安全可靠,并無所謂漏洞,請廣大用戶放心使用。針對360向媒體播放的證據(jù)視頻,搜狗公司稱,360的視頻不能為它的抹黑說法提供任何證明,只要通過賬號同步功能,在A電腦上用某個(gè)QQ賬號登錄瀏覽器后,同時(shí)在B電腦瀏覽器上登錄同一個(gè)QQ賬號,即可導(dǎo)入表單數(shù)據(jù),再同步到A電腦上,這是賬號同步機(jī)制正常的功能特性。
360有關(guān)負(fù)責(zé)人在接受《國際金融報(bào)》記者采訪時(shí)表示,無論是競爭對手還是合作伙伴,無論是系統(tǒng)廠商還是運(yùn)營商、媒體、銀行,只要確實(shí)存在對用戶上網(wǎng)安全造成風(fēng)險(xiǎn)、并需要立即采取措施的嚴(yán)重問題,360都會(huì)第一時(shí)間發(fā)布警報(bào)。
國內(nèi)另一安全廠商瀚海源CEO方興分析:這次的安全漏洞問題可能出在搜狗瀏覽器的云同步上,第一,無法確認(rèn)搜狗瀏覽器的云同步是否得到用戶授權(quán);第二,能夠同步到其他用戶的信息,可能內(nèi)部管理問題。
安全警鐘長鳴
關(guān)注網(wǎng)絡(luò)信息安全
“此次事件最終如何落幕尚待時(shí)間來判定,不過對于廣大網(wǎng)民來說,自己用的瀏覽器究竟有沒有安全風(fēng)險(xiǎn),可能更受關(guān)注。”在曹磊看來,“對于眾多瀏覽器廠商來說,這次事件也是一個(gè)促進(jìn)其更好地檢驗(yàn)自身產(chǎn)品、提升用戶滿意度的機(jī)會(huì)。”
“隨著網(wǎng)絡(luò)的發(fā)展,如銀行卡、賬號、登錄密碼等核心個(gè)人信息越來越多存儲(chǔ)在電腦與網(wǎng)絡(luò)上,若有丟失則屬于嚴(yán)重安全問題,不容忽視。”曹磊認(rèn)為,要斷定搜狗瀏覽器是否存在用戶隱私信息泄露的情況仍需要進(jìn)一步調(diào)查。
有調(diào)研報(bào)告顯示,超過60%的被訪者遭遇過個(gè)人信息被盜用,這一數(shù)字仍在增長。今年7月,工信部公布了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》,其中規(guī)定信息服務(wù)提供商不得泄露用戶姓名、身份證號等,違反者罰最高3萬元以及“記入社會(huì)信用檔案”等。這一規(guī)定不僅涉及到運(yùn)營商、互聯(lián)網(wǎng)企業(yè),還涵蓋了更多的行業(yè)。
