360疑泄漏万条网友隐私 回应称会定期删除数据

360

3Q大战告一段落，但硝烟并未散去。2010年的最后一天，一场关于用户隐私的战争再次爆发，有意思的是，这次涉嫌泄漏用户隐私的主角正是3Q大战中的安全卫士360。

2010年12月31日下午，金山指责360收集网友隐私，包括用户访问网站记录、搜索记录以及用户名密码等信息，并以360服务器被谷歌抓取的日志作为证据。360则回应称这是上传恶意网站的正常功能，金山也有这一功能。而此次被G oogle抓取到的日志中，不到万分之一的URL含用户名和密码等信息泄漏风险非常有限。

事件

用户资料外泄长达14小时

没想到2010年会以这样的方式结束工作。2010年12月31日下午4点许，金山网络C EO傅盛在微博上写下这样一句话。就在此时，金山召开紧急新闻发布会，称其安全中心接到用户举报，在G oogle网站上可以搜索到大量中国网民使用互联网的隐私记录，甚至包括用户登录网站或邮箱的用户名、密码。而这些数据的来源，正是之前3Q大战中的安全卫士360。

发布会在网上进行了直播，现场展示了部分案例，这些案例分别涉及360用户在百度、谷歌、搜狗等搜索引擎上的搜索历史、邮箱等服务的用户名密码，以及某些内部网络的登录地址、文档信息等内容。

金山网络称，经过验证发现，360在通过其他客户端秘密手机网友信息，但由于服务器的配置问题，导致记录大量用户信息的日志文件被G oogle收录索引，导致大规模外泄。金山呼吁360用户尽快修改密码信息。

金山网络技术工程师李铁军在接受本报采访时表示，现在很多安全厂商都使用云技术，都会上传一些信息到云服务器上作匹配，以此判断链接是否安全。但是云安全不应该是肆意收集用户隐私的遮羞布。李铁军说，首先这些恶意网址在上传的时候是不会与用户电脑进行对应的，更不会对用户电脑的几乎所有操作都上传，比如新浪、网易、Q Q等已被认证的网站、用户口令等唯一标识信息都会过滤之后才上传，而且上传供验证的部分恶意网址也不会被服务器保存。

李铁军认为，从360泄漏的日志来看，包含的用户信息非常详细，明显超过了上述范围，虽然普通用户看不懂，但一旦被黑客利用，就非常危险了。

据了解，泄漏的日志最早2010年12月31日上午6点许就在网上传播了，直到当晚10点，G oogle才将这些信息的网页快照完全屏蔽。

网友验证

利用日志成功登录携程代理后台

在网页快照屏蔽前几个小时，新浪微博用户Joey_Y in写道：我在360的帮助下完成了2010年的最后一次入侵检测或者说H acking，利用360收集的用户行为日志中找到了携程某代理商的身份认证信息，成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢？

记者联系到该新浪微博用户，他真名叫殷钧钧，是成都一家外企的安全架构师，自称与金山和360无任何关系，只是在金山召开新闻发布会后，出于职业敏感，想了解事件的真相。

我这里已经过滤出来了几百个密码文件，没时间一一验证，不过都是各类管理系统后台、论坛、邮箱。殷钧钧表示，在金山披露360涉嫌泄漏用户隐私之后，通过G oogle还能抓取到10%左右的日志，但更早发现这一情况的人，应该下载了更多的数据。