谷歌揪出360安全软件后门
谷歌揪出360安全软件后门:金山网络接到用户举报,称在网络上搜索到自己的用户名和密码等信息,怀疑自己电脑中毒,要求协助解决。
金山网络工程师立刻帮助用户进行解决排查,并在解决过程中通过美国搜索引擎谷歌发现在互联网上存在一个巨大用户隐私信息数据包;经过追踪,发现谷歌服务器上收录的隐私数据包来自360官方服务器,里面包含大量网民上网行为记录以及用户名密码等信息。
经过工程师进一步对数据包分析,其中包括网民在百度搜索关键字、淘宝购物记录、金蝶等企业内部财务网络数据、四川某政府机构官方邮箱用户名及密码等链接数据。
金山网络委托律师紧急联络国家相关部门、联络谷歌呼吁删除数据,并试图与数据包中已解析出相关的政府机构、企业等取得联系,希望最大程度减少损失。
黑客的盛宴
谷歌搜索引擎爬虫揪出的安全软件后门,已经在第一时间成为网络黑客的盛宴,也成为中国网民的梦魇。
一位匿名黑客告诉记者,在网上有消息之前,黑客圈就已经在传递这些链接和数据包了,从谷歌上轻易就能够找到。
这个数据包中的内容,包括一些政府部门的招标文件、部分企业的财务报表、网上商城的一些用户购物行为记录,网民的搜索、浏览行为记录,最为劲爆、也最有吸引力的,是一些大型网站用户的密码。
“尤其是那些邮箱用户,顺着这条藤挖下去就是黑客眼中的金矿。”他说,很多用户会在不同地方用相同用户名和密码注册,就连最初级的黑客都会有所谓刷库工具,在不同网站进行暴力破解,很快这位用户的其他网银、网游等账号极有可能就被盗取转账。
他介绍说,还会有一些用户会把游戏、网银等账号密码保存在邮箱里面,也会有一些黑客用“密码重置或取回”功能,通过已经被攻破的邮箱,继而连环攻破该用户名下其他有价值的服务。
金山揭秘安全软件后门
金山网络工程师向记者介绍,由于这次泄密的数据包涉及的用户种类繁杂,这其中肯定会给许多用户带来实际利益上的损失,但是却很难像病毒那样集中爆发。“用户种类不同、涉及网站不同。更关键的,很多人到现在为止都不知道自己的用户名和密码已经‘在网上飞’。”
“我们最担心的是数据包的外泄会慢慢在互联网上发酵,如果不作出及时预警,其效应会像钝刀子割肉一样,所以我们第一时间呼吁用户立刻修改密码。”金山网络工程师说,“由于360在网上连发两篇声明先指责金山造伪证,后来又改口说是因为金山想抢夺360份额。360的‘声音’比我们大,现在我们监测到的情况是,网上陆续有很多入侵别人后台的图片被贴出来炫耀。”
“相信这与大多数不法分子正默默盗取用户虚拟财产、真金白银相比,只是九牛一毛。”这位工程师说,“做这种事的黑客,不会像国际恐怖组织一样站出来自称对某某事件负责,闷声发大财,受损害的用户也搞不清楚到底哪个环节出了问题,于是这个事情看起来就像是‘大事化小,小事化了’。”
“从当天11点我们接到用户举报,马上通知谷歌,再到晚上10点左右谷歌删除快照,中间差不多有11个小时。”金山网络工程师说,“再加上直到现在很多用户还不明真相,我们担心360的用户的利益正在不知不觉中被黑客所侵犯,而更让人担心的是,只要360还在持续搜集这些数据,下一次他的服务器再出问题,爆出这些隐私又会是什么样的规模?”
360回应:
金山意在争夺市场份额
“金山针对360的不实指责,是因为嫉妒360取得的近80%的市场地位。”360发表了一份公开声明,作为回应。360的这份声明解释说:“所谓这些隐私其实是360安全中心的恶意网址库。当用户访问某个网页时,360软件会把用户访问的网址和360云安全中心的恶意网址库进行比对,以鉴别和拦截挂马、钓鱼、欺诈等恶意网页。”360表示,正是有了这个安全中心,用户的安全才能得到更好的保护。
360进一步解释说,360没有收集用户名和密码信息,极少数具有安全漏洞的网站将用户名和密码信息编写在网址URL中以便传递给其服务器进行身份认证,而360的软件恰好抓取了这些链接所致。360强调,只有极少数具有安全漏洞的网站才有用户名和密码泄露的风险。
但金山网络CEO傅盛表示,360作为一家安全软件企业,通过云安全搜集恶意网址库是理所当然的,“但前提应该是搜集的确实都是恶意网址!在数据库里能发现新浪、网易等用户的密码,360将这些都轻描淡写地说成是极少数,怕是对‘用户隐私大过天’这句话的反讽与亵渎”。
傅盛说,在此次泄露的数据包中,淘宝、网易、新浪、百度、搜狗等知名大网站的链接都包含其中。据金山网络工程师在现场演示,一位网民通过搜狗搜索“美女内衣”视频、在百度搜索“非诚勿扰”等行为都被收录其中。这显然已经超出了360所言的“恶意网址”范围。
傅盛表示,这其中很多收录的数据都是对建立恶意网址库难以理解的。“比如用户第一次在搜狗搜索‘美女内衣’后,又在搜狗上点击了其他页面,这些行为都被360一个不落地收录进了数据包中,这些都是恶意网址库需要搜集的?”
金山网络工程师现场还演示了数据包其他内容,包括许多用户浏览百度贴吧、访问网易游戏、浏览优酷视频、登录财付通、浏览新浪和腾讯博客等行为均被详细记录,甚至还有不少企业内部网络地址。
傅盛说:“这更像是一个软件设置的后门,把用户行为全数搜集,并上传到服务器,这些用户行为对产品设计来说是难以估量的财富。”搜集用户行为并没有什么问题,不断改进产品的确需要用户的反馈。但底线是你只能搜集有关你自己软件的用户行为,如果都像360这样无所不包,最后导致的结果就像现在大家看到的那样,用户信息严重泄露。
“今天360服务器泄露的数据包,更加说明了360不仅扫描,更向自己的服务器上传了很多不该上传的用户隐私。”傅盛说。
国内知名博客洪波对此次事件更进一步的评述是:360侵犯隐私问题的主要表现在三个层面:首先是360安全卫士偷窥用户隐私(包括用户名、密码、访问记录、内网数据等);其次是360上传用户隐私到自家服务器;最后是360的服务器没有安全防范措施,导致通过谷歌即可搜索用户隐私数据。
没有评论:
发表评论