360公布搜狗收集用户密码证据 搜狗称对手抹黑

标签:360密码热点用户搜狗

访客:25723  发表于:2013-11-07 15:47:15

360公布搜狗收集用户密码证据 搜狗称对手抹黑


      360公司11月7日下午召开媒体发布会,公布搜狗收集用户隐私信息并泄漏的相关资料,称此次由于搜狗泄密而导致了重大安全事故。不过,搜狗方面向新浪科技发来的声明坚称,搜狗浏览器无问题,这次漏洞事件完全是360精心策划、幕后操纵的行为。

  360公司副总裁曲晓东介绍说,11月5日,360公司接到用户反馈,称在使用个人QQ账户登陆搜狗浏览器时,可以查看到大量其他用户的账号和密码,使用这些账号和密码可以直接登录到这些账户。在这些论坛上,有用户发布了关于该事故的详情,特别是如何获取其他用户账号和密码的详细操作步骤,360公司立即组织技术人员对这一重大安全事故开展验证,经验证,相关信息完全属实。

  曲晓东称,搜狗泄密是一次罕见的互联网安全事故,被泄露的用户账号信息主要包括三类:登录账号和密码、收藏夹数据和上网历史记录:

  第一,经360公司初步验证以及根据网民反馈的信息不完全统计,遭到泄漏的用户账户类型主要有:电子邮箱、社交媒体、电商、电子支付、手机应用账户、电信运营商、政府、高校和企业内部管理系统等。

  第二,此次能够获取到泄漏数据的版本是搜狗浏览器4.2版本,但其他版本的搜狗浏览器登录账户和密码,都可能被泄露到使用搜狗浏览器4.2版本的用户电脑中。由于搜狗浏览器的自动填表功能是默认开启的,而且搜狗浏览器4.2版本已经作为正式版在推广,因此此次安全事件影响面非常广。

  第三,搜狗浏览器拥有几千万用户,泄漏的账号密码分类非常广泛,并且泄漏时间持续至少1周以上。目前,没有其他产品出现过这种大规模的用户信息泄漏问题,这是互联网浏览器历史上罕见的安全事故。

  在发布会现场,360向媒体播放了一段视频(视频地址),该视频显示,在一台只有基本应用程序的电脑中,下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆,双击退出该系统。然后,在工具栏里点击“智能填表”,再选择管理表单数据,网页上就会弹出一个表单。继续点击,就会出现大量不同用户的个人账号密码等信息。视频显示,使用这些账号和密码能够进入到这些用户的淘宝、邮箱、QQ等系统中。

  360技术人员在现场分析说,导致泄密的原因,是搜狗浏览器具有的自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候,搜狗会把收集的用户账号和密码从服务器回传到浏览器上,以方便用户使用。

  “然而,由于搜狗的软件在同步方面存在设计缺陷,用户退出后,会触发该设计错误,导致服务器将大量其他用户的账号和密码回传到浏览器上,除了账号和密码外,还包括其他用户的收藏夹信息、历史记录等。”该技术人员说。

  360技术人员建议,对于曾经使用过搜狗浏览器自动填表功能的用户,目前必须要做的,就是第一时间修改所有登录或保存过的账号密码,包括但不限于电子邮箱、社交媒体、电商、电子支付平台、手机应用账户、政府信息管理系统、公用事业信息平台、电信服务、高校内部管理信息系统、企业内部管理系统等。

  “而对于提供互联网软件服务的公司,应谨慎收集用户的隐私数据,特别是账号密码等,并应提供高级别的安全加密措施,保证用户个人信息不被解密,以及不同用户之间数据的隔离。此外,互联网软件应采用高水准的软件设计架构,来保证个人信息不会因为软件低级缺陷而被泄漏。”上述人员说。

  据悉,11月5日下午,漏洞报告平台WooYun(乌云)已经发布了搜狗浏览器存在漏洞的消息。中央电视台《24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目详细报道了记者验证该漏洞信息的全过程。

(转自新浪科技)


评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");