金山360大战:2010年的最后一把火

90愤青 收藏 4 459
导读:金山360大战:2010年的最后一把火

金山网络:360公司涉嫌大规模泄露用户隐私


360公司或面临史上最大的危机。在2010年最后的一天被其竞争对手金山网络曝出涉及中国互联网最大的隐私泄露事件。


2010年12月31日下午,金山紧急召开新闻发布会,声称在google网站上可以搜索到大量中国互联网用户使用互联网的隐私记录,甚至包括用户登陆网站或邮箱的用户名、密码。经过金山验证后,发现是360在通过其客户端秘密收集用户信息,由于这台服务器的配置问题,导致360不慎将记录了大量用户信息的日志文件被google收录索引,造成大规模外泄。


360用户信息遭遇泄露


据金山网络CEO傅盛介绍,当天上午金山网络接到不少网友举报,称通过搜索引擎中可以直接搜索出网民的用户名、密码、个人爱好、网站访问时间等超详细个人隐私,其范围涵盖个人网民和企业内部的重要资料,而这些隐私信息均存于360的某一台服务器上。


“这可能是由于360内部新上架的服务器未能完全配置好而导致。”傅盛表示,被泄露的用户信息文件内容是明文的,根本不需要任何技术手段进行分析,会上网的人都可以直接利用这些私密信息。


金山网络称360这次泄露的日志内容包括:邮箱账号、密码,详尽的网页访问记录,甚至可以通过其邮箱、QQ号等信息直接对应上相应的真实用户。据了解,涉及到隐私泄露的用户高达4亿,涉及的内容包括几个部分:其中包括定位到单个用户,该用户访问互联网的详细访问记录、该用户登陆网站、邮箱、QQ空间、该用户进行的搜索行为的关键字信息、用户访问和使用企业内网的登陆账号、密码,访问动作、以及用户通过网络登陆网银的相关信息等。


“这些数据非常之多,有几十、上百万,我们估计360覆盖的用户数据都在里面。这是非常严重的隐私泄露事件”,傅盛表示,该泄密事件涉及到众多的互联网企业,包括百度、腾讯、开心、新浪等等知名互联网公司。就在此前,360对外号称其用户规模已经达到了3亿。


据金山网络介绍,在2010年12月31日12点30之前,360的服务器直接可以下载这些日志文件,但之后服务期被关闭了。不过,google搜索已经保存了这些内容,可以通过google搜索的快照链接来再次查看。关键词是:site:upload.360safe.com,搜索结果页:基本所有泄露的内容都在google搜索中可以找到。截止到记者成稿时止,还可以使用网页快照功能查看。


针对上述事件,目前,金山网络已经采取三方面的应对措施,其中包括向上级主管和公安机关报案,采取了很多措施分析数据,分析能够造成什么样的伤害,以及对这些信息进行了公证。金山方面表示,如果这些信息被黑客获取,可能造成比较严重的后果。


360悄然搜集用户名密码以及上网行为


在发布会现场,金山网络向媒体披露了360泄露的信息详情,并现场针对部分案例进行了演示。这些案例分别涉及网民在百度、谷歌、搜狗等搜索引擎中的搜索关键字、访问了哪些具体的网站链接、邮箱等服务的用户名密码、以及某些公司内部网络的登录地址、文档信息等内容。


傅盛表示,通过普通网址访问这台服务器时发现,里面包含大量用户隐私,包括唯一身份标识的机器码、所有的访问记录。“这就可以看到你什么时间上了什么网站,甚至是你下载情况,都能定位到唯一用户,获知全网的访问记录。”


《每日经济新闻》在现场看到,普通用户通过访问www.google.com,并键入一些相关关键词便可访问到相关隐私数据包。比如在谷歌的网页搜索中键入“upload.360safe.com”,立刻可以看到360搜集的部分用户隐私数据包。更令人担忧的是,这些数据包都是以明文未加密方式存在,这也就意味着最普通的网民都可以在这个数据包中查询,使得许多360用户的上网行为、用户名密码等重要信息受到严重威胁。


例如:一位湖北网民某天在搜狗视频搜索上搜索了“性感美女内衣”、并浏览了相关结果,紧接着又用搜狗图片搜索搜索了“美女”关键字,并浏览了相关结果。紧接着这位网民上了百度的魔兽世界贴吧,浏览了一些帖子,包括该网民其后浏览了“非诚勿扰”相关视频、访问淘宝、网易等行为均被详细记录,更为令人担忧的是,这位网民的QQ号码等识别性非常强的个人信息都包括在数据包中,马上可以将这些浏览行为与该网民对应起来。


另外一例泄露是四川一家政府机构的办公邮箱泄密事件。通过360的数据包可以获得该邮箱的用户名和密码,并实现登陆查询,包括这家机构的工作报告、2011年工作重点、财务报表等信息均可马上被访问到。


不仅如此,在数据包中还发现,360对公司内网地址也纳入搜集范围,包括湖北一家涉及国家重大项目的国有大型企业内网地址,以及相关用户名密码均赫然在列,这家机构的2011年预算等信息都在数据包中被发现。


傅盛表示,促使金山网络感到事态严重,并决定立即公布此事的另一个重要原因还在于:目前这些用户个人隐私信息已经在网上被扩散传播。在谷歌搜索引擎上,已经可以搜索到存放于360官方服务器上的数据包。


针对金山网络的质疑,360方面表示,继在微点案中签字盖章作伪证后,金山再次用捏造的办法陷害竞争对手。今天金山公布的所谓360侵犯用户隐私的证据中,将360上传恶意网址的正常功能歪曲成收集用户隐私,可笑的是,金山自己也有这一功能,瑞星、卡巴、诺顿也都有。对于金山捏造的那些证据,其回头将逐一反驳。


傅盛对此表示担忧,安全软件需要对用户进行保护,但不需要收集用户的数据,也不需要对跟踪唯一用户的行为,只需要把自己的安全措施做好,而对于360为什么要这么做,还希望360对于公众给予解释。


互联网知名评论人士洪波称“金山指360侵犯隐私问题有三个层面:1. 360偷窥用户隐私(包括用户名、密码、访问记录、内网数据等);2. 360上传用户隐私到自家服务器;3. 360的服务器没有安全防范措施,导致通过Google即可搜索用户隐私数据。”


CSDN CEO蒋涛表示,若360泄露用户隐私一事属实,将成为互联网安全领域的又一大“爆炸性”事件。客户端性质的产品都具有上传信息的功能,如果金山此次公布的360泄露用户隐私一事属实,会让用户在使用客户端时更加没有安全感,因为每天都有软件在搜集、窥探和滥用自己的隐私信息。


但蒋涛也指出,虽然金山作为一个商业公司没有资质来判断360是否真正泄露了用户隐私,但国内目前缺乏第三方机构来给出客观的监测和评判。该事情出来之后,政府机构也需要出面给网民一个解释。


金山360大战:2010年的最后一把火




2
回复主贴

相关文章

更多 >>
聚焦 国际 历史 社会 军事

猜你感兴趣

更多 >>
4条评论
点击加载更多

发表评论

更多精彩内容

经典聚焦

更多
发帖 向上 向下
广告 关闭