2014年8月5日 星期二

360公佈搜狗非法證據 搜狗稱對手抹黑



360公司今天下午召開媒體發佈會,公佈搜狗收集用戶隱私信息並泄漏的相關資料,稱此次由於搜狗泄密而導致瞭重大安全事故。不過,搜狗方面向新浪科技發來的聲明堅稱,搜狗瀏覽器無問題,這次漏洞事件完全是360精心策劃、幕後操縱的行為。



360公司副總裁曲曉東介紹說,11月5日,360公司接到用戶反饋,稱在使用個人QQ賬戶登陸搜狗瀏覽器時,可以查看到大量其他用戶的賬號和密碼,使用這些賬號和密碼可以直接登錄到這些賬戶。在這些論壇上,有用戶發佈瞭關於該事故的詳情,特別是如何獲取其他用戶賬號和密碼的詳細操作步驟,360公司立即組織技術人員對這一重大安全事故開展驗證,經驗證,相關信息完全屬實。



曲曉東稱,搜狗泄密是一次罕見的互聯網安全事故,被泄露的用戶賬號信息主要包括三類:登錄賬號和密碼、收藏夾數據和上網歷史記錄:



第一,經360公司初步驗證以及根據網民反饋的信息不完全統計,遭到泄漏的用戶賬戶類型主要有:電子郵箱、社交媒體、電商、電子支付、手機應用賬戶、電信運營商、政府、高校和企業內部管理系統等。



第二,此次能夠獲取到泄漏數據的版本是搜狗瀏覽器4.2版本,但其他版本的搜狗瀏覽器登錄賬戶和密碼,都可能被泄露到使用搜狗瀏覽器4.2版本的用戶電腦中。由於搜狗瀏覽器的自動填表功能是默認開啟的,而且搜狗瀏覽器4.2版本已經作為正式版在推廣,因此此次安全事件影響面非常廣。



第三,搜狗瀏覽器擁有幾千萬用戶,泄漏的賬號密碼分類非常廣泛,並且泄漏時間持續至少1周以上。目前,沒有其他產品出現過這種大規模的用戶信息泄漏問題,這是互聯網瀏覽器歷史上罕見的安全事故。



在發佈會現場,360向媒體播放瞭一段視頻(視頻地址),該視頻顯示,在一臺隻有基本應用程序的電腦中,下載安裝搜狗瀏覽器,點擊搜狗瀏覽器的賬號登錄系統,使用QQ賬號和密碼進行註冊和登陸,雙擊退出該系統。然後,在工具欄裡點擊“智能填表”,再選擇管理表單數據,網頁上就會彈出一個表單。繼續點擊,就會出現大量不同用戶的個人賬號密碼等信息。視頻顯示,使用這些賬號和密碼能夠進入到這些用戶的淘寶、郵箱、QQ等系統中。



360技術人員在現場分析說,導致泄密的原因,是搜狗瀏覽器具有的自動填表功能,這個功能會把用戶的賬號和密碼上傳到搜狗服務器上。當用戶再次使用搜狗瀏覽器的時候,搜狗會把收集的用戶賬號和密碼從服務器回傳到瀏覽器上,以方便用戶使用。



“然而,由於搜狗的軟件在同步方面存在設計缺陷,用戶退出後,會觸發該設計錯誤,導致服務器將大量其他用戶的賬號和密碼回傳到瀏覽器上,除瞭賬號和密碼外,還包括其他用戶的收藏夾信息、歷史記錄等。”該技術人員說。



360技術人員建議,對於曾經使用過搜狗瀏覽器自動填表功能的用戶,目前必須要做的,就是第一時間修改所有登錄或保存過的賬號密碼,包括但不限於電子郵箱、社交媒體、電商、電子支付平臺、手機應用賬戶、政府信息管理系統、公用事業(1634.197, -6.44, -0.39%)信息平臺、電信服務、高校內部管理信息系統、企業內部管理系統等。



“而對於提供互聯網軟件服務的公司,應謹慎收集用戶的隱私數據,特別是賬號密碼等,並應提供高級別的安全加密措施,保證用戶個人信息不被解密,以及不同用戶之間數據的隔離。此外,互聯網軟件應采用高水準的軟件設計架構,來保證個人信息不會因為軟件低級缺陷而被泄漏。”上述人員說。



據悉,11月5日下午,漏洞報告平臺WooYun(烏雲)已經發佈瞭搜狗瀏覽器存在漏洞的消息。中央電視臺《24小時》、《新聞直播間》、《熱點掃描》、《交易時間》等欄目詳細報道瞭記者驗證該漏洞信息的全過程。



搜狗回應



對於360的行動,搜狗公司向新浪科技發來一篇官方聲明(全文),稱從11月5日開始,360公司經過精心的策劃和導演,先後操縱論壇ID、微博水軍及傳媒,並動用360導航、彈窗等手段,對搜狗瀏覽器再次進行瞭抹黑。



搜狗堅稱:“我們承諾,搜狗瀏覽器安全可靠,並無所謂漏洞,請廣大用戶放心使用。這次漏洞事件完全是360精心策劃、幕後操縱的行為。”



針對360向媒體播放的證據視頻,搜狗公司稱,360的視頻不能為它的抹黑說法提供任何證明:隻要通過賬號同步功能,在A電腦上用某個QQ賬號登錄瀏覽器後,同時在B電腦瀏覽器上登錄同一個QQ賬號,即可導入表單數據,再同步到A電腦上,這是賬號同步機制正常的功能特性。



搜狗方面稱,事件爆出後,360安全衛士首先發佈瞭微博提醒用戶,然後360官微在短時間內集體出動轉發,繼而360安全衛士啟動彈窗要求用戶停止使用搜狗。360也在其網站發佈相關新聞,新聞中羅列出瞭眾多用戶爆出的搜狗瀏覽器安全漏洞問題,但這些用戶莫衷一是都是馬甲號,並且發佈的爆料微博格式也極為相似。



搜狗公司認為,在卡飯論壇出現搜狗樓頂的帖子之後,360在未與搜狗取得聯系、確認問題性質的情況下,先後通過在微博發佈公告、向全網用戶彈窗、發佈視頻的方式,公佈所謂漏洞的細節,這種行為違反瞭安全行業規則,其目的是打擊其競爭對手。





Orignal From: 360公佈搜狗非法證據 搜狗稱對手抹黑

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。