IT家园 - Powered by Discuz! Board

标题: [其他] 360疑泄漏万条网友隐私回应称会定期删除数据 [打印本页]

作者: chimengshi 时间: 2011-1-5 16:20 标题: 360疑泄漏万条网友隐私回应称会定期删除数据

3Q大战告一段落，但硝烟并未散去。2010年的最后一天，一场关于用户隐私的战争再次爆发，有意思的是，这次涉嫌泄漏用户隐私的主角正是3Q大战中

的“安全卫士”360。

2010年12月31日下午，金山指责360收集网友隐私，包括用户访问网站记录、搜索记录以及用户名密码等信息，并以360服务器被谷歌抓取的日志作为证

据。360则回应称这是上传恶意网站的正常功能，金山也有这一功能。而此次被G oogle抓取到的日志中，不到万分之一的URL含用户名和密码等信息“

泄漏风险非常有限”。

事件

用户资料外泄长达14小时

“没想到2010年会以这样的方式结束工作。”2010年12月31日下午4点许，金山网络C EO傅盛在微博上写下这样一句话。就在此时，金山召开紧急新闻

发布会，称其安全中心接到用户举报，在G oogle网站上可以搜索到大量中国网民使用互联网的隐私记录，甚至包括用户登录网站或邮箱的用户名、密

码。而这些数据的来源，正是之前3Q大战中的“安全卫士”360。

发布会在网上进行了直播，现场展示了部分案例，这些案例分别涉及360用户在百度、谷歌、搜狗等搜索引擎上的搜索历史、邮箱等服务的用户名密码

，以及某些内部网络的登录地址、文档信息等内容。

金山网络称，经过验证发现，360在通过其他客户端秘密手机网友信息，但由于服务器的配置问题，导致记录大量用户信息的日志文件被G oogle收录索

引，导致大规模外泄。金山呼吁360用户尽快修改密码信息。

金山网络技术工程师李铁军在接受本报采访时表示，现在很多安全厂商都使用云技术，都会上传一些信息到云服务器上作匹配，以此判断链接是否安全

。“但是云安全不应该是肆意收集用户隐私的遮羞布。”李铁军说，首先这些恶意网址在上传的时候是不会与用户电脑进行对应的，更不会对用户电脑

的几乎所有操作都上传，比如新浪、网易、Q Q等已被认证的网站、用户口令等唯一标识信息都会过滤之后才上传，而且上传供验证的部分恶意网址也

不会被服务器保存。

李铁军认为，从360泄漏的日志来看，包含的用户信息非常详细，明显超过了上述范围，“虽然普通用户看不懂，但一旦被黑客利用，就非常危险了。

”

据了解，泄漏的日志最早2010年12月31日上午6点许就在网上传播了，直到当晚10点，G oogle才将这些信息的网页快照完全屏蔽。

网友验证

利用日志成功登录携程代理后台

在网页快照屏蔽前几个小时，新浪微博用户Joey_Y in写道：“我在360的帮助下完成了2010年的最后一次入侵检测或者说H acking，利用360收集的用

户行为日志中找到了携程某代理商的身份认证信息，成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢？”

记者联系到该新浪微博用户，他真名叫殷钧钧，是成都一家外企的安全架构师，自称与金山和360无任何关系，只是在金山召开新闻发布会后，出于职

业敏感，想了解事件的真相。

“我这里已经过滤出来了几百个密码文件，没时间一一验证，不过都是各类管理系统后台、论坛、邮箱。”殷钧钧表示，在金山披露360涉嫌泄漏用户

隐私之后，通过G oogle还能抓取到10%左右的日志，但更早发现这一情况的人，应该下载了更多的数据。

作者: 不堪回首 时间: 2011-1-6 19:46

360行为不端，安全卫士已不再安全，用户真不知该说些什么好了。

作者: 为你变乖 时间: 2011-1-6 19:56

不尊重用户，如此疯狂的360，你说谁还再用它，除非是脑细搭牢。

欢迎光临 IT家园 (http://bbs.it998.com/)