事件概述
12月31日,金山召開發布會,稱“360侵犯用戶隱私”,隨後發布“一級安全預警”,稱“上億用戶名和密碼外泄”。
金山網路在事件發生後,通過新聞發布會發布了多張隱私記錄截圖,金山宣稱3億網民面臨隱私信息被竊取的風險,並發布安全預警。
泄漏內容
A. 定位到單個用戶,該用戶訪問網際網路的詳細訪問記錄。360軟體會把用戶訪問的網址和360雲安全中心的惡意網址庫進行比對,以鑑別和攔截掛馬、釣魚、欺詐等惡意網頁。針對單個用戶的標識碼MID是通過不可逆的隨機算法生成的一個隨機字元串,不可能反向推導出用戶電腦的任何信息,因此並不涉及用戶隱私信息。
B. 該用戶登入網站、信箱、QQ空間,少數網站在用戶登錄時,會將用戶名和密碼直接編寫在URL網址中,傳送給伺服器進行身份驗證。而360網盾和其它國內外安全軟體一樣,只查詢URL網址,而不會主動去識別其中的用戶名和密碼。
C. 該用戶進行的搜尋行為的關鍵字信息,當用戶使用多標籤瀏覽器同時打開多個網頁時,由於在同一個瀏覽器進程中打開了多個網頁,360網盾會將用戶同時打開的多個網址URL一起上報至伺服器,由伺服器進一步甄別出其中的惡意網頁。包括用戶使用搜尋引擎時,URL中附帶的搜尋關鍵字。對於鑑別出的正常的網頁,其URL網址記錄會自動從日誌檔案中刪除。
D. 用戶訪問和使用企業區域網路的登入賬號、密碼,訪問動作等,黑客/木馬程式可能會構造SQL語句並加在URL中對網站資料庫發起攻擊,這種攻擊請求會被360網盾截獲,因此在日誌數據中會看到極少量的SQL語句。
泄漏危害
經過360對網址雲安全查詢日誌的統計,發現帶有用戶名和密碼的數據的確保存在了360的伺服器上。通過訪問Google的確可以訪問到這部分數據。GOOGLE已經將這些數據刪除。 但是,由於該伺服器可在網際網路上直接訪問,因而可能所有被上傳的用戶數據都已經被各類黑客、電腦愛好者、潛在的破壞者下載。因此,實際造成了不可估量的損失。使用360軟體的用戶應當及時更換密碼。
防範措施
完全阻止隱私泄密是一件非常困難的事。使用防病毒軟體,可以有效阻止隱私外泄。此外,不能輕易相信某個廠家的產品。通常,收費軟體由於有契約約束,安全性較高。盜版的通常面臨更大的風險。
360回應
1、導致此次事件的原因,是因為360存儲網址雲安全查詢日誌的一台內部伺服器遭到了攻擊,使得原本無法被搜尋引擎抓取的日誌數據被Google的蜘蛛抓取到了少量數據。經與Google搜尋結果核對,我們發現一部分能在Google中搜尋到,一部分在Google中搜尋不到。我們正在調查,金山公司是通過何種途徑得到放在360伺服器上的惡意網頁攔截日誌的。
2、所謂“收集隱私”只是正常功能。上傳可疑網址信息是安全軟體的通用技術,很多安全軟體都有類似功能。可笑的是,金山自己的軟體金山網盾也會在用戶訪問可疑網址後上傳網頁瀏覽記錄。安全軟體在發現用戶瀏覽器受到惡意代碼攻擊時,會將可疑惡意網址上傳到伺服器進行自動分析,然後把鑑定出來的掛馬網址加入惡意網址庫,這是安全行業通用的做法,除了金山和360外,諾頓、趨勢等也都有類似的機制。