就在大家还在回味“双十一”网购热潮之时,来自网购安全方面的警钟又一次敲响。“双十一”前夕,搜狗浏览器被爆出存在漏洞,让不少准备在“双十一”疯狂网购一把的搜狗用户提心吊胆。而这一次主动“帮”搜狗“找茬”的还是曾经和搜狗闹出绯闻、之后又跟搜狗闹出“3狗”大战的360,至于搜狗方面,则是发表官方声明指责360“恶意抹黑”。于是,此次安全漏洞本身如何,似乎被业界所忽视,口水战俨然成为事件焦点。有业内人士表示,事件真相如何?搜狗是否真有问题?目前依然是雾里看花无定论,只能建议普通用户尽快进行自查,做好必要的安全防护。
网曝搜狗升级后“漏洞百出”
一个是用户请回来浏览网易的浏览器,一个是用户请回来管理电脑的电脑管家,本来都应该是为用户服务的两个工具,最近竟又互相先吵起了。近日,有网友爆料称,在升级到最新版本的搜狗浏览器之后,使用QQ账号登录浏览器,浏览器在同步该账号保存于云端的内容的同时竟然也同步了其他用户的信息,包括保存在搜狗服务器上的收藏夹内容、插件、自动填表等。而特别让用户无法接受的是,自动填表的内容包括了QQ、邮箱、支付宝、银行等涉及用户财产的账户信息。该用户发布的帖子中用截图说明,甚至可以直接进入他人的支付宝账户进行转账购物,直接支付交易。但是,就在网友爆料的当天,相关的爆料内容神秘地消失了。
就在广大网友们人心惶惶之时,包括央视新闻频道在内的多家媒体对于这一事件进行了报道,并详细跟进了该事件的进展,不但如此,媒体还直接播出了记者亲自验证该漏洞信息的全过程。央视记者使用了一台仅安装有基本应用程序的电脑进行验证,在下载安装了搜狗浏览器后,点击搜狗浏览器的账号登录系统,再使用QQ账号和密码进行注册和登录。随后退出该系统,在工具栏里点击“智能填表”,选择管理表单数据,网页上会弹出一个表单,显示淘宝、QQ邮箱、公积金、12306火车订票系统等,继续点击,就出现了账号、密码等信息。记者发现,这些信息大多来自其他用户。为了验证这些账号的真实性,央视记者继续使用搜狗浏览器打开淘宝网站,再次点击智能填表系统中的“填写当前表单”,浏览器便自动进入了该用户的账户系统。
在经过央视图文并茂声色俱全的揭露后,关于搜狗浏览器泄露用户个人信息的“罪证”在互联网上广为流传。据南方日报记者了解到,微博上众多网民也纷纷进行验证,亮出各种泄露的账号密码。据目前网上披露的材料显示,此次信息泄露涉及公积金、各类电子邮箱、彩票、淘宝、携程、人人、12306火车票订票网站、一些政府部门网上管理系统,以及一些高校网站等多种登录系统。值得注意的是,该漏洞之后得到了乌云平台的确认并将其危害等级定为“高”。
360:搜狗造就“罕见互联网安全事故”
网络安全有风吹草动,自然少不了360的身影,而这一次更是来自“3狗大战”的另一个主角,360毫无意外地冲在了维护用户信息安全的最前线。
就在搜狗浏览器被爆出存在泄漏用户信息的现象的第二天,360就通过微博发布“搜狗重大安全漏洞”提示,称接到用户反馈,并通过验证确认“这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。”
根据360的说法,已经将情况紧急通知了国家互联网应急中心和搜狗公司,建议搜狗浏览器用户修改所有账户密码,并在搜狗修复漏洞之前暂停使用其产品。360公司副总裁曲晓东声称:“搜狗浏览器的信息泄露是一次罕见的互联网安全事故”。据曲晓东解释,早在10月,搜狗官方网站和一些安全论坛上已经陆续有用户反馈搜狗浏览器出现异常,360公司随后也接到用户反馈,称在使用个人QQ账户登录搜狗浏览器时,可以查看到大量其他用户的账号和密码,使用这些账号和密码可以直接登录到这些账户。曲晓东介绍:“在这些论坛上,有用户发布了关于该事故的详情,特别是如何获取其他用户账号和密码的详细操作步骤,我们立即组织技术人员对这一重大安全事故展开验证,经验证,相关信息完全属实。”
搜狗:360炮制“史上最恶劣造谣事件”
面对360的矛头和网络舆论的声讨,搜狗也通过微博发表声明称“搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象”。同时,搜狗在声明中暗指360在进行不正当竞争,“搜狗坚持走独立发展的道路后,发展势头强劲,这让某些竞争对手如鲠在喉。在此我们呼吁:不要以绑架用户的名义、欺骗和恐吓用户的手段,屡次发起不正当竞争!”
搜狗方面坚称:“我们承诺,搜狗浏览器安全可靠,并无所谓漏洞,请广大用户放心使用。这次漏洞事件完全是360精心策划、幕后操纵的行为。”针对360提供的相关证据,搜狗公司称360的说法完全是一种没有根据的抹黑:只要通过账号同步功能,在A电脑上用某个QQ账号登录浏览器后,同时在B电脑浏览器上登录同一个QQ账号,即可导入表单数据,再同步到A电脑上,这是账号同步机制正常的功能特性。
对于360所说的已经告知搜狗并提醒用户暂停使用搜狗浏览器直到漏洞修复,搜狗方面指出,360安全卫士首先发布了微博提醒用户,然后360官微在短时间内集体出动转发,继而360安全卫士启动弹窗要求用户停止使用搜狗。360也在其网站发布
搜狗公司认为,在出现搜狗浏览器漏洞的帖子之后,360在未与搜狗取得联系、确认问题性质的情况下,先后通过在微博发布公告、向全网用户弹窗、发布视频的方式,公布所谓漏洞的细节,这种行为违反了安全行业规则,其目的是打击其竞争对手。
安全事件为啥成了口水战?
“本来请了两个工人,结果在自家吵架还让闹得不得安宁,这些所谓的为用户服务的企业节操何在?”网友OKEI对于这次搜狗和360的“口水战”觉得颇为无奈。
资料显示,就在事件被爆出后不久,搜狗和360两家互联网企业利用其在用户电脑中的客户端软件进行了中国互联网常见的“弹窗”大战。11月5日、11月6日,360连续弹窗2次,分别称“搜狗浏览器爆重大漏洞,用户应立即修改网银、支付宝密码”、“搜狗浏览器大面积泄露网银、支付、电商、企业内网账号密码”。11月7日,搜狗更是弹窗指责“360安全卫士抹黑搜狗,炮制史上最恶劣造谣事件”。至此,该事件已经变质成了两家互联网公司的骂战,漏洞究竟如何产生以及网上散布的漏洞信息是否真实却被舆论所忽略。
工信部已介入漏洞信息调查
有互联网安全领域人士向南方日报记者表示,在本次事件中,问题的焦点在于搜狗浏览器的自动填表功能是否真实存在泄漏用户个人信息的问题。据南方日报记者了解到,在目前主流的桌面浏览器中,大部分的浏览器都具备了自动填表(或称智能填表)功能,也有不少浏览器会将用户信息备份到其服务器上,比如谷歌浏览器等,对于大多数浏览器用户而言,此功能可以实现在同一账户名下于各种网站中注册时省去了反复填写个人资料的步骤,极大地简化了用户新注册网站的流程,因此该功能在网友中间一直颇为受到欢迎。“在搜狗浏览器涉嫌因为该功能而泄漏用户个人信息的事件发生后,网友更关心的问题无疑是这一功能是否安全可靠,搜狗浏览器是否还值得信赖?”互联网分析人士吴昕在接受南方日报记者采访时认为,互联网企业在遇到产品问题的时候,将焦点放在公司层面的恶性竞争和抹黑等表现是毫无意义的。“用户想要知道的是问题是否真实存在,而不是关心揪出问题的是不是你的竞争对手,或者是不是存在恶意。”据媒体报道,工信部、国家互联网应急中心相关领导均表示已关注此事,正在调查。
据一位不愿意透露姓名的安全领域人士透露,从目前的情况来看,广大搜狗浏览器的用户应该尽快进行自查,做好必要的安全防护,虽然搜狗浏览器相关的泄露问题之前的版本并没有出现,只在最新的版本中(4.2版,现已停止下载)第一次曝出存在漏洞,但是用户都有必要第一时间修改所有登录或保存过的账号密码,包括但不限于电子邮箱、社交媒体、电商、电子支付平台、手机应用账户、政府信息管理系统、公用事业信息平台、电信服务、高校内部管理信息系统、企业内部管理系统等。
手机看中经
经济日报微信
中经网微信
