1月10日，在360被爆出存在“任意密碼修改漏洞”的一個多月后，烏云網公布了這一漏洞的細節?？梢钥吹?，這一漏洞之所以可以被用來修改任意用戶的密碼，其實質仍然是360在密碼找回鏈接的URL結構設計上的重大缺陷：直接使用了可以與其旗下社交網站的用戶名進行匹配的明文qid。一位IT業技術人員在接受采訪時指出，本次360的密碼修改漏洞，與2012年爆出的同類型漏洞在原理上如出一轍。據了解，一年多之前，360就曾經因為在密碼找回鏈接中使用了不安全的MD5校驗碼，而被指出過同類漏洞。連續在同一個問題上犯下相同的錯誤，使得360在業界和用戶心目中的形象被打上了一個大大的問號。

在烏云網所公布的漏洞操作細節中，用戶可以清楚地看到發現漏洞的“白帽子”是如何輕易地“盜取”了用戶的個人信息，甚至包含明星苗圃的私人信息，其中不僅包括賬戶密碼，更包括通訊錄、通話記錄、短信記錄等隱私信息。面對這樣的結果，連測試者自己也連稱“這個BUG玩大了”，而圍觀網友則大呼“又有人要當陳冠希了”。令人關注的是，如此簡單易用的隱私泄露BUG，竟在360系統的“密碼找回”這樣的主干模塊中潛伏了長達數月之久，考慮到360龐大的用戶群，這一缺陷的潛在損害，思之不寒而栗。

?令人意外的是，面對這樣令人后怕的漏洞，360官方僅僅給出的危害評級僅僅為“中”。記者就同樣的問題采訪相關專家時獲悉，在微軟的漏洞評價等級中，涉及遠程執行和密碼泄露的漏洞通常應當給予“非常嚴重”的評價。由此看來，360官方對漏洞的回應，態度值得回味，不免有“捂蓋子”的嫌疑。

而不得不提到的是，這已經是360在短短一年里，連續兩次被發現了同一類型、同樣原理的BUG。記者查看烏云網的過往漏洞記錄，查到2012年就已經有“白帽子”發現360的密碼找回機制存在類似缺陷。究竟是360在同一個問題上連續犯下兩次致命的技術失誤，還是說360根本沒有對技術人員所反映的問題引起足夠的重視，低估用戶智商，則非常值得思考。

多位安全專家亦表示，在中國互聯網協會《互聯網終端安全服務自律公約》第十三條、工信部《規范互聯網信息服務市場秩序若干規定》第十三條、《互聯網終端軟件服務行業自律公約》第八條等多項條例中均強調了互聯網信息服務提供者應當加強系統安全防護，保護用戶個人信息安全。然而，從目前來看，以“安全”起家的360，在基礎系統設計的安全問題上做的可能還遠遠不夠。