|
国际上知名互联网安全组织OWASP中国区西南地区负责人Joey在接受 《每日经济新闻》采访时表示,在看到金山发布的消息后,也曾经到谷歌快照下载了从360服务器外泄的日志文件。“由于360第一时间就删除了该数据,但是在谷歌的快照里还可以下载,不过要‘爬墙’。”
Joey指出,在他所下载的总量不超过10%的日志中,感触最深的就是,这些日志中记录了非常详细的用户信息,每台电脑,浏览了什么地址,打开了哪些页面,搜索了什么关键词,“甚至有一部分用户名密码都在里面,光我下载的部分,涉及到用户名密码的就达到200多个。”
Joey认为,“360收录的确实是隐私内容。”据其透露,在利用360收集的用户行为日志中找到了携程某代-理商的身份认证信息,并成功进入该代-理商的携程管理后台。从他手里掌握的已经过滤的达几百个密码文件,因为时间问题并没有挨个进行验证,不过都是各类管理系统后台、论坛、邮箱。
“从技术上准确判断哪个网址触发报警其实并不困难。但是,从泄露出来的日志信息来看,这些正常网址所占比例很高,并不像是‘将触发报警时用户同时打开的网址一起上报至服务器’的。”Joey表示。
《每日经济新闻》从某安全厂商下载到的360服务器泄露的log文件中看到,360日志记录十分详尽,例如某用户在2010年12月8日至20日的23个日志中出现了268次,记录了该用户访问QQ空间,下载软件,看在线电影,使用百度搜索引擎的所有浏览页面行为。此外,可看到网购用户姓名、邮箱、手机、送货地址、订单金额、快递费,下单时间精确到秒。
以20101216-urlreport.log为例,其记录了上海淘宝用户牛小姐12月16日,在淘宝网上购买了一款“秋冬羊毛呢百褶裙109送皮带”,拍下该物品的时间为2010年12月16日晚10时54分,上述信息均在360的日志中记录,其中包括牛小姐的电话、住址、网络订单号等详细信息。
记者随后从牛小姐处确认了上述信息均为真实有效信息,牛小姐也证实自己是360的用户。
对此,淘宝公关人士对记者表示,目前淘宝网络信息安全部已获知该信息,也已介入调查,相关细节暂无法对外公布。
Joey也指出,360白皮书中确实承认“如果您访问的网址不在黑白名单列表中,360安全浏览器会发送到360的服务器”,但像淘宝这样的大网站居然不在360的 “黑白名单列表”中,就不可思议了。
“金山这个性质不一样,360是主动抓取用户数据,金山是被动接受用户提交。不过金山也确实犯了错误,就是用户提交的这些数据它没有处理妥当,还是公开了。这不能不说也是个安全问题。”Joey说。
一位不愿意透露姓名的安全厂商表示,由于地区、人群分布的浏览报告对于电子商务非常有价值,国内许多有渠道的厂商都在做类似的数据分析。
著名互联网专家谢文在接受媒体采访时表示,互联网行业有个不成文的规矩,只要用户上了网,他的很多信息就都是可以看到的。包括谷歌、百度等公司,都会自然生成cookie,这个很容易被读到。“但这是产品提供商的问题,现在要明确的问题是,360是否主观故意在产品设计中系统地收集整理用户隐私信息,是否将这些信息进行商业盈利。”
以上文字来自《凤凰网》,我只摘录了对金山特别有利的一面,至于其它内容,如感兴趣,可参考http://tech.ifeng.com/internet/detail_2011_01/05/3975678_1.shtml |
|
|
|
|
|
|