奇虎金山互咬 咬出網絡泄密潛規則

每經記者  謝曉萍  發自北京

        繼金山披露奇虎360涉嫌國內互聯網重大網民隱私泄露事件后，360也再一次將矛頭指向金山。

        前日（1月3日），360公司公開表示，通過百度、谷歌、搜狗、必應、搜搜等各大搜索引擎，可以搜索到大量金山從用戶電腦上傳的網址記錄，其中不乏用戶名和密碼。通過金山官方的pc120.com網站，任何人都可以公開查詢到這些網址，包括其中包含的用戶名和密碼。

        就在去年12月31日，金山緊急召開發布會，披露國內互聯網重大網民隱私泄露事件：360客戶端正悄然收集其用戶的個人隱私資料，其中包括用戶訪問網站記錄、搜索記錄以及用戶名密碼等諸多信息，而更進一步的是，這些資料目前已經從360官方服務器上向外界擴散。

        值得注意的是，昨日下午，金山網絡替換了其官網首頁  “360泄密”事件相關文章，奇虎360則臨時取消了相關的媒體溝通會，雙方同時“收手”引起網民的極大關注。有網友稱，或因為相關部門介入此事。

風波緣起

        去年12月31日上午6時38分，有網友在百度貼吧上報料稱：看看360都收集了什么，隨機發了相關鏈接地址。

        11時，金山網絡稱接到用戶舉報，舉報者稱其在網絡上搜索到自己的用戶名和密碼等信息，懷疑電腦中毒，要求協助解決。

        金山網絡工程師李鐵軍在接受《每日經濟新聞》采訪時表示，接到舉報后，金山立即幫助用戶進行解決排查，并在解決過程中通過搜索引擎谷歌發現在互聯網上存在一個巨大的用戶隱私信息包，經過追蹤，發現該隱私數據包來自360官方服務器，里面包含大量網民上網行為記錄以及用戶名、密碼等信息。

        14時，金山網絡技術部門召開緊急會議，分析認為此類數據并非安全軟件應該收集的記錄。這也就意味著，360是在用戶不知情的情況下收集隱私數據。經過工程師進一步對數據包分析，發現其中包括網民在百度搜索關鍵字、淘寶購物記錄、金蝶等企業內部財務網絡數據、某政府機構官方郵箱用戶名及密碼等鏈接數據。

        國際上知名互聯網安全組織OWASP中國區西南地區負責人Joey在接受  《每日經濟新聞》采訪時表示，在看到金山發布的消息后，也曾經到谷歌快照下載了從360服務器外泄的日志文件。“由于360第一時間就刪除了該數據，但是在谷歌的快照里還可以下載，不過要‘爬墻’。”

        Joey指出，在他所下載的總量不超過10%的日志中，感觸最深的就是，這些日志中記錄了非常詳細的用戶信息，每臺電腦，瀏覽了什么地址，打開了哪些頁面，搜索了什么關鍵詞，“甚至有一部分用戶名密碼都在里面，光我下載的部分，涉及到用戶名密碼的就達到200多個。”

泄密確有其事？

        Joey認為，“360收錄的確實是隱私內容。”據其透露，在利用360收集的用戶行為日志中找到了攜程某代理商的身份認證信息，并成功進入該代理商的攜程管理后臺。從他手里掌握的已經過濾的達幾百個密碼文件，因為時間問題并沒有挨個進行驗證，不過都是各類管理系統后臺、論壇、郵箱。

　　《每日經濟新聞》從某安全廠商下載到的360服務器泄露的log文件中看到，360日志記錄十分詳盡，例如某用戶在2010年12月8日至20日的23個日志中出現了268次，記錄了該用戶訪問QQ空間，下載軟件，看在線電影，使用百度搜索引擎的所有瀏覽頁面行為。此外，可看到網購用戶姓名、郵箱、手機、送貨地址、訂單金額、快遞費，下單時間精確到秒。

        以20101216-urlreport.log為例，其記錄了上海淘寶用戶牛小姐12月16日，在淘寶網上購買了一款“秋冬羊毛呢百褶裙109送皮帶”，拍下該物品的時間為2010年12月16日晚10時54分，上述信息均在360的日志中記錄，其中包括牛小姐的電話、住址、網絡訂單號等詳細信息。

        記者隨后從牛小姐處確認了上述信息均為真實有效信息，牛小姐也證實自己是360的用戶。

        對此，淘寶公關人士對記者表示，目前淘寶網絡信息安全部已獲知該信息，也已介入調查，相關細節暫無法對外公布。

360回應引質疑

        在針對金山質疑其收集用戶的隱私聲明中，360表示沒有收集任何的用戶名和密碼信息，實際情況是極少數具有安全漏洞的網站將用戶名和密碼信息編寫在網址URL中，以便傳遞給其服務器進行身份認證，而360軟件在通過惡意網址庫云查詢這些URL網址時，并不會主動去識別其中的用戶名和密碼，因此會在網址云安全查詢日志中記錄這些URL。對于鑒別出的正常網頁，其URL網址記錄會自動從日志文件中刪除。

        金山網絡CEO傅盛表示，360作為一家安全軟件企業，通過云安全收集惡意網址庫是理所當然的，但像淘寶這樣的知名大網站，并不是惡意網址庫需要收集的。

        Joey也指出，360白皮書中確實承認“如果您訪問的網址不在黑白名單列表中，360安全瀏覽器會發送到360的服務器”，但像淘寶這樣的大網站居然不在360的  “黑白名單列表”中，就不可思議了。

        針對上述質疑，360方面表示，當未知掛馬網頁觸發360網盾報警時，用戶可能會同時打開很多個網頁。目前技術上無法準確判斷是哪個網頁觸發了報警，360網盾會將觸發報警時用戶同時打開的網址（URL）一起上報至服務器。這也是為什么可疑惡意網址日志文件中會包含一些知名網站和內網網址的原因。

        “從技術上準確判斷哪個網址觸發報警其實并不困難。但是，從泄露出來的日志信息來看，這些正常網址所占比例很高，并不像是‘將觸發報警時用戶同時打開的網址一起上報至服務器’的。”Joey表示。

金山自擺烏龍？

        1月3日，金山旗下網站pc120.com也被曝光流出大量用戶隱私，其中包括用戶名和密碼，這些用戶名和密碼已被各大搜索引擎抓取。

        360方面人士對  《每日經濟新聞》記者表示，在金山旗下網站大量用戶隱私信息被泄露之前，360公司副總裁譚曉生在第一時間以郵件的方式通知了金山董事長雷軍和CEO傅盛，也收到了金山安全專家李鐵軍的郵件回復。

        金山網絡市場部副總裁肖潔表示，金山pc120.com是用戶主動提交網址進行查詢的獨立網站，那些包含部分個人隱私的內容數據是網友自己上傳的，金山已全部刪除這些信息，并與收錄的搜索引擎積極聯系，消除影響。

        Joey表示，經過驗證，金山提供了一個入口：http:/wangzhi.pc120.com/供用戶用來檢驗網址是否安全，而之前曝光的用戶隱私搜索出來的正是這個地址的處理日志，“也就是說，這個是用戶主動發起的。”

        “金山這個性質不一樣，360是主動抓取用戶數據，金山是被動接受用戶提交。不過金山也確實犯了錯誤，就是用戶提交的這些數據它沒有處理妥當，還是公開了。這不能不說也是個安全問題。”Joey說。

        一位不愿意透露姓名的安全廠商表示，由于地區、人群分布的瀏覽報告對于電子商務非常有價值，國內許多有渠道的廠商都在做類似的數據分析。

        著名互聯網專家謝文在接受媒體采訪時表示，互聯網行業有個不成文的規矩，只要用戶上了網，他的很多信息就都是可以看到的。包括谷歌、百度等公司，都會自然生成cookie，這個很容易被讀到。“但這是產品提供商的問題，現在要明確的問題是，360是否主觀故意在產品設計中系統地收集整理用戶隱私信息，是否將這些信息進行商業盈利。”



如需轉載請與《每日經濟新聞》報社聯系。未經《每日經濟新聞》報社授權，嚴禁轉載或鏡像，違者必究。

聯系電話：021-60900099轉688

每經訂報電話

北京：010-58528501    上海：021-61283003    深圳：0755-83520159    成都：028-86516389    028-86740011    無錫：15152247316