您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >剖析:金山360之戰(zhàn)——竊取無罪,泄露有責(zé)?

剖析:金山360之戰(zhàn)——竊取無罪,泄露有責(zé)?

時間:2011年1月10日

    歲末年初之際,互聯(lián)網(wǎng)業(yè)內(nèi)再爆口水戰(zhàn),金山稱“360泄露用戶隱私”,360公司反指“金山搜集用戶隱私”。此事雖因工信部的介入,暫時偃旗息鼓,但當(dāng)事雙方究竟誰對誰錯仍然成謎。為此,互聯(lián)網(wǎng)安全專家朱易(化名)專門研究了雙方的證據(jù),他認(rèn)為360和金山被曝光的“搜集用戶隱私行為”屬于基本合理范疇,雙方的軟件用戶可以繼續(xù)放心使用,反而雙方互相的攻擊和指責(zé)卻略顯牽強(qiáng),甚至有蓄意之嫌。    (服務(wù)器租用)

第一回合:金山“攻擊”360

  2010年12月31日,金山率先出招,稱360的服務(wù)器upload.360safe.com泄露了用戶的隱私,用戶的用戶名密碼可通過Google等搜索引擎搜到,號召用戶卸載360。對此,2011年1月2日,360回應(yīng),這些記錄被Google抓取,是因為360存儲網(wǎng)址云安全查詢?nèi)罩镜囊慌_內(nèi)部服務(wù)器遭到了攻擊,使得原本無法被搜索引擎抓取的日志數(shù)據(jù)被Google的蜘蛛抓取到了少量數(shù)據(jù)。

  朱易認(rèn)為,360確實會將用戶上過的所有網(wǎng)頁都記錄下來,不過這么做的初衷并沒有錯,這些信息被用來鑒別用戶所登錄網(wǎng)站的安全性,比如網(wǎng)站是否掛馬等等,這并不算惡意收集。可是,這些信息竟然可以被谷歌搜索引擎找到,360在用戶隱私信息的傳輸和保護(hù)上有不可推卸的責(zé)任。

  朱易親自操作,確實在谷歌上找到了大量用戶隱私信息,比如大量移動BOSS(業(yè)務(wù)運(yùn)營支撐)系統(tǒng)密碼等等,例如網(wǎng)站管理員從數(shù)據(jù)庫下載一些BAK、RAR文件供工作之用,這些信息都會被360采集下來。

    雖然鑒別網(wǎng)站安全性的用意沒有錯,但收集如此大量的用戶信息是否過火,朱易表示仍有待商榷。另外,360還有義務(wù)確保這部分信息的絕對安全,而造成大量隱私泄露,后果很嚴(yán)重。

第二回合:360“反擊”金山

  1月4日360“反擊”,其向媒體表示,已掌握大量經(jīng)過公證的證據(jù),顯示通過百度等各大搜索引擎,可以搜索到大量金山從用戶電腦上傳的網(wǎng)址記錄,其中不乏用戶名和密碼等隱私信息。金山對此溫和回應(yīng),pc120網(wǎng)站涉及的網(wǎng)址信息,都來源于用戶主動提交和互聯(lián)網(wǎng)上的公開網(wǎng)址。朱易表示,360對PC120即金山安全中心問題曝光多少有些牽強(qiáng)。  (vps主機(jī))

  首先,金山泄露的隱私信息數(shù)量遠(yuǎn)遠(yuǎn)不及幾天前360的情況。其次,金山安全中心的功能是鑒定網(wǎng)友和用戶主動上傳的網(wǎng)址鏈接是否安全,從而建立一個惡意網(wǎng)址庫,而用戶提出的網(wǎng)址鏈接中難免會有一些明碼用戶密碼之類的信息,這部分信息可能一起被保存了下來。從這點來看,金山的做法并沒有什么問題,且不具備普遍性。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照