现在是互联网时代,特别是随着智能手机的兴起,人们几乎必须依靠网络才能生存下去。网络让人们的工作、生活更方便了。然而,如果重要的个人隐私信息得不到坚强的安全保障,就有可能威胁到个人财产安全。然而,近日爆出的“搜狗泄密门”一案,不仅搅动了互联网江湖,而且将网络隐私的安全危机再次摆在了社会面前。
缘起:一个安全论坛上的偶然发现
11月4日,在著名的安全网站卡饭论坛里,有网友发帖称,在将搜狗浏览器更新到4.2版后,使用QQ账号登录搜狗浏览器,退出登录时发现,搜狗浏览器通过智能填表功能,自动下载了许多密码、用户名以及收藏夹等信息,这些信息都不是他自己保存的。包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,随便点击一个就可以直接用他人的账号登录并进行正常操作,甚至可以进行网上购物。同时他还在网络上发布了照片和视频。
当晚11时许有媒体记者发现,原帖已经被删除,目前在网上流传的都是复制或截图版本。次日凌晨零时许,该记者再次按照该网帖的操作步骤,更新了搜狗浏览器4.2版本后进行登录、退出,然后使用智能填表功能,但并未发现有其他用户的信息被下载。
360、乌云确认搜狗存在漏洞,搜狗否认
11月5日上午10点40分,360通过微博发布“搜狗重大安全漏洞”,称接到用户反馈,通过验证确认“这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。”360称已紧急通知国家互联网应急中心和搜狗公司,并请搜狗浏览器用户务必修改所有账户密码,在搜狗修复漏洞之前暂停使用。
下午3时53分,搜狗通过微博发布了致用户书。搜狗表示,在当天发现网帖后立即组织技术团队进行了查证,确认网上所传的现象并不存在。同时,搜狗称一直重视隐私的保护,并暗示此次事件是竞争对手发起的不正当竞争,称不放弃“包括法律在内的各种途径”。
6分钟过后,著名的漏洞报告平台发布报告,确认了该漏洞的存在。乌云报告确认“搜狗浏览器存在重大安全漏洞,可以直接登陆数千账户”,称该漏洞类型为“网络敏感信息泄露”,危害等级为“高”,乌云称已将漏洞报告给了搜狗。乌云是与CNCERT/CC(国家计算机网络应急技术处理协调中心)、国家信息安全漏洞共享中心等国家权威机构深度合作的专业漏洞报告平台,其平台上已经报告的数百个漏洞中无一错报。
11月5日21:13分,360通过微博发布,称“正告搜狗:提醒用户修改密码,比掩饰漏洞更重要!搜狗浏览器漏洞真实存在,360安全中心接到用户反馈后,已多次测试,并经过公证处录制具有法律效力的视频资料。我们希望看到此消息的朋友,马上通知您身边曾经使用过搜狗浏览器的朋友,尽快修改密码,减少损失和风险!”
央视记者亲身经历搜狗漏洞
针对搜狗浏览器漏洞导致部分用户隐私信息泄露,央视新闻频道于5日当晚进行了追踪报道。在报道中,央视记者亲自验证了搜狗浏览器漏洞的整个过程,并录制了搜狗浏览器“泄密”视频。
央视记者在一台只有基本应用程序的电脑中下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆,随后退出该系统。随后,他在工具栏里点击“智能填表”,再选择管理表单数据。随后,网页上就会弹出一个表单,显示淘宝、QQ邮箱、公积金、12306火车订票系统等,继续点击,就出现了账号密码等信息。
央视记者发现,这些账号是从来没有使用过的他人账号。为了验证这些账号的真实性,他使用搜狗浏览器打开淘宝网站,再次点击智能填表系统中的“填写当前表单”,浏览器自动进入该用户的账户系统。
据央视记者现场粗略统计,搜狗浏览器泄露的用户账号密码数量约有上千个。
专家:“搜狗11.5泄密门”规模罕见
长城重点安全实验室主任陈亮表示,他们安排人员进行了测试,并未发现密码泄露的情况,说明该漏洞已被修复;但他们发现,在用搜狗浏览器登录时进行账户切换,查看历史记录会发现一些自己并没有访问过的网站。
对于造成个人信息泄漏的原因,陈亮认为,搜狗浏览器可能并未对浏览器的“智能填表”功能进行严格的安全测试,专业人士对新产品进行测试的时候,意外地接通了搜狗的后台管理系统,进而无条件下载到了其他用户的浏览信息;此外,还有一种可能性是搜狗浏览器的数据库出现了错误。陈亮称,这个问题并非最近才存在,之前搜狗浏览器就存在记录账号和密码并暗中上传的情况。
知名安全厂商瀚海源CEO方兴则表示,这次的安全漏洞问题可能出在搜狗浏览器的云同步上,第一,无法确认搜狗浏览器的云同步是否得到用户授权;第二,能够同步到其他用户的信息,可能内部管理问题。
搜狗泄密了,用户怎么办?
长城重点安全实验室主任陈亮认为,大部分用户缺乏安全意识,所有网站都使用一套密码,而搜狗的智能填表功能可以很方便地进行登录,但存在安全隐患。因此,在日常使用时千万不要“一套密码走天下”,密码长度要大于6位,而且要有特殊字符。同时尽量不对密码和用户名进行保存;在使用浏览器时不建议安装插件。
有技术专家建议说,在搜狗公司修复此漏洞之前,建议用户暂停使用搜狗浏览器;如果用户曾经使用搜狗浏览器登陆过,也须立刻修改全部密码,尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。
厂商反应:已经采取技术措施予以防范,并提示用户相关风险
网易邮箱:正在核实相关问题的原因,建议用户暂停使用搜狗浏览器产品,同时为了帐号安全考虑,邮箱密码及时修改,并及时清空并重置密保信息绑定手机和设置二次验证登录。
银行:针对央视报道搜狗浏览器被曝存明显漏洞,有可能危及数千万网银账户的安全,招行、建行、工行等多家银行客服部门回复称,目前已经把相关情况反馈给有关部门。招商银行客服人员表示,目前尚未接到相关的用户投诉,但是本着为用户负责的态度,已经将问题反馈给有关部门处理。同时建议,用户应该提高警惕,或通过及时修改网上银行密码等措施来解决相关隐患。
12306网站:有网友证实,通过搜狗浏览器“漏洞”,下载查看到大量其他用户信息,其中包括12306账号等。对此,12306表示已经将此问题反馈给技术部门,目前正在等待技术部门的正式通知,对于上述问题,一经查实12306会有相应的技术措施应对,防范用户相关账号个人信息的泄露,避免给用户造成更大的损失。
支付宝:支付宝已经通过邮件建议用户修改密码。本记
