去年12月31日上午6时38分,有网友在百度贴吧上报料称:看看360都收集了什么,随机发了相关链接地址。
11时,金山网络称接到用户举报,举报者称其在网络上搜索到自己的用户名和密码等信息,怀疑电脑中毒,要求协助解决。
金山网络工程师李铁军表示,接到举报后,金山立即帮助用户进行解决排查,并在解决过程中通过搜索引擎谷歌发现在互联网上存在一个巨大的用户隐私信息包。经过追踪,发现该隐私数据包来自360官方服务器,里面包含大量网民上网行为记录以及用户名、密码等信息。
国际上知名互联网安全组织OWASP中国区西南地区负责人Joey在接受采访时表示,在看到金山发布的消息后,也曾经到谷歌快照下载了从360服务器外泄的日志文件。Joey透露,在利用360收集的用户行为日志中找到了携程某代理商的身份认证信息,并成功进入该代理商的携程管理后台。从他手里掌握的已经过滤的达几百个密码文件,因为时间问题并没有挨个进行验证,不过都是各类管理系统后台、论坛、邮箱。
记者从某安全厂商下载到的360服务器泄露的log文件中看到,360日志记录十分详尽,例如某用户在2010年12月8日至20日的23个日志中出现了268次,记录了该用户访问QQ空间,下载软件,看在线电影,使用百度搜索引擎的所有浏览页面行为。此外,可看到淘宝网购用户姓名、邮箱、手机、送货地址、订单金额、快递费,下单时间精确到秒。
1月3日,金山旗下网站pc120.com也被曝光流出大量用户隐私,其中包括用户名和密码,这些用户名和密码已被各大搜索引擎抓取。
金山网络市场部副总裁肖洁表示,金山pc120.com是用户主动提交网址进行查询的独立网站,那些包含部分个人隐私的内容数据是网友自己上传的,金山已全部删除这些信息,并与收录的搜索引擎积极联系,消除影响。
Joey表示,经过验证,金山提供了一个入口:http:/wangzhi.pc120.com/供用户用来检验网址是否安全,而之前曝光的用户隐私搜索出来的正是这个地址的处理日志,“也就是说,这个是用户主动发起的。不过金山也确实犯了错误,就是用户提交的这些数据它没有处理妥当,还是公开了。这不能不说也是个安全问题。”
一位不愿意透露姓名的安全厂商表示,由于地区、人群分布的浏览报告对于电子商务非常有价值,国内许多有渠道的厂商都在做类似的数据分析。
