據了解,近日,在網上一些安全論壇上,陸續有用戶反饋搜狗瀏覽器出現異常的信息。有用戶還附上視頻,公開了“如何獲取其他用戶賬號和密碼”的詳細操作步驟。隨后,搜狗公司發布聲明,否認了搜狗瀏覽器存在泄密問題。
11月7日下午,360公司召開媒體溝通會,通報了此次“搜狗泄密”的情況,公布了相關資料,并展示了經過法律公證的相關視頻。360稱,為盡量降低政府、高校、電信、企業以及其他重要公用事業部門網絡信息系統面臨的風險,360建議用戶和企事業單位盡快對使用過搜狗瀏覽器的電腦終端進行安全排查,立即更改在電腦上登錄過的所有各類賬戶密碼。
360展示“搜狗泄密”視頻
360表示,11月5日上午,鑒于搜狗瀏覽器泄密這一重大安全事故信息已經公開,特別是一些網民將如何使用泄漏的賬號和密碼進入他人的賬戶發布在微博上,一旦被不法分子利用,后果將不堪設想。360本著盡快、盡可能保護用戶利益和信息安全的原則,立即將相關情況通報了搜狗公司和國家互聯網應急中心,并通過360安全衛士提醒搜狗瀏覽器用戶,盡快更改登錄密碼。
同時,在7日下午舉行的發布會上,360的技術人員還現場展示了“搜狗泄密”的相關視頻,360稱這是經過法律公證的視頻。
該視頻顯示,在一臺只有基本應用程序的電腦中,下載安裝搜狗瀏覽器,點擊搜狗瀏覽器的賬號登錄系統,使用QQ賬號和密碼進行注冊和登陸,雙擊退出該系統。然后,在工具欄里點擊“智能填表”,再選擇管理表單數據,網頁上就會彈出一個表單。繼續點擊,就會出現大量不同用戶的個人賬號密碼等信息。視頻顯示,使用這些賬號和密碼能夠進入到這些用戶的淘寶、郵箱、QQ等系統中。
360技術人員分析,導致泄密的原因,是搜狗瀏覽器具有的自動填表功能,這個功能會把用戶的賬號和密碼上傳到搜狗服務器上。當用戶再次使用搜狗瀏覽器的時候,搜狗會把收集的用戶賬號和密碼從服務器回傳到瀏覽器上,以方便用戶使用。然而,由于搜狗的軟件在同步方面存在設計缺陷,用戶退出后,會觸發該設計錯誤,導致服務器將大量其他用戶的賬號和密碼回傳到瀏覽器上,除了賬號和密碼外,還包括其他用戶的收藏夾信息、歷史記錄等。
360:這是一次罕見的互聯網安全事故
360稱,此次“被泄露”的用戶賬號信息主要包括三類:登錄賬號和密碼、收藏夾數據和上網歷史記錄。
第一,經360公司初步驗證以及根據網民反饋的信息不完全統計,此次涉及的用戶賬戶類型主要有:電子郵箱、社交媒體、電商、電子支付、手機應用賬戶、電信運營商、政府、高校和企業內部管理系統等。
第二,此次能夠獲取到數據的版本是搜狗瀏覽器4.2版本,但其他版本的搜狗瀏覽器登錄賬戶和密碼,都可能被“泄露”到使用搜狗瀏覽器4.2版本的用戶電腦中。由于搜狗瀏覽器的自動填表功能是默認開啟的,而且搜狗瀏覽器4.2版本已經作為正式版在推廣,因此此次安全事件影響面非常廣。
第三,搜狗瀏覽器擁有幾千萬用戶,此次涉及的賬號密碼分類非常廣泛,并且時間持續至少1周以上。目前,沒有其他產品出現過這種大規模的用戶信息泄漏問題,這是互聯網瀏覽器歷史上罕見的安全事故。
360建議:用戶及企事業單位應盡快更換密碼
360公司建議,對于曾經使用過搜狗瀏覽器自動填表功能的用戶,目前必須要做的,就是第一時間修改所有登錄或保存過的賬號密碼,包括但不限于電子郵箱、社交媒體、電商、電子支付平臺、手機應用賬戶、政府信息管理系統、公用事業信息平臺、電信服務、高校內部管理信息系統、企業內部管理系統等。
另外,注意到,今天中午,搜狗瀏覽器官方微博發布“鐵證”,稱360炮制“史上最惡劣造謠事件”打擊競爭對手。
360也在其官方微博上表示,無論是競爭對手還是合作伙伴,無論是操作系統還是運營商、媒體、銀行,只要確實存在對用戶上網安全造成風險、并需要立即采取措施的嚴重問題,360都會第一時間發布警報。這是網絡安全廠商的義務,也是360的一貫原則。
目前,搜狗公司尚未對360公布的相關資料做進一步回應。據悉,搜狗公司將于今日晚間舉行記者會,通報相關情況。
更多搜狗行業研究分析,詳見《搜狗行業報告匯總》。這里匯聚海量專業資料,深度剖析各行業發展態勢與趨勢,為您的決策提供堅實依據。
更多詳細的行業數據盡在【數據庫】,涵蓋了宏觀數據、產量數據、進出口數據、價格數據及上市公司財務數據等各類型數據內容。
