网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


搜狗浏览器“泄密事件”引发用户密码危机

2013-11-09 11:10 推荐: 浏览: 94 字号:

摘要: 本周,搜狗浏览器“泄密事件”持续发酵,用户个人信息及密码面临泄漏威胁。 2013年11月5日:微博上有账号曝出“搜狗浏览器存重大安全漏洞 大量用户隐私被泄露”。当天下午15:53分,搜狗在其官方微博上对此予以否认,在搜狗的官方声明里称“搜狗浏览器技术团队第一时...

本周,搜狗浏览器“泄密事件”持续发酵,用户个人信息及密码面临泄漏威胁。

2013年11月5日:微博上有账号曝出“搜狗浏览器存重大安全漏洞 大量用户隐私被泄露”。当天下午15:53分,搜狗在其官方微博上对此予以否认,在搜狗的官方声明里称“搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象”,并表示此为竞争对手的不正当竞争行为。15:59分,国内第三方漏洞报告平台乌云网上也有人报告“搜狗重大安全漏洞可直接登陆数千账户”,搜狗在回复中再次表示“没有发现所谓的重大安全漏洞,更没有大量用户隐私被泄露的情况发生”。

 

 

 

乌云网披露搜狗浏览器漏洞信息及厂商回复

《捍卫用户利益及互联网精神 搜狗致用户书》全文:

11月5日,我们在微博上发现有账号称“搜狗浏览器存重大安全漏洞 大量用户隐私被泄露”。 对此,搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象。

一直以来,搜狗致力于为用户提供安全可靠的产品和服务,并严格保护用户隐私,请广大用户放心使用。

搜狗坚持走独立发展的道路后,发展势头强劲,这让某些竞争对手如鲠在喉。在此我们呼吁:不要以绑架用户的名义、欺骗和恐吓用户的手段,屡次发起不正当竞争!

对此,搜狗将不放弃包括法律在内的各种途径,以坚决捍卫互联网的开放、自由精神,维护广大用户之最终权益。

搜狗公司

2013.11.05

包括央视新闻频道在内的多家媒体对于这一事件进行了报道,中央电视台《24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目详细报道了记者亲自验证该漏洞信息的全过程。央视记者使用了一台仅安装有基本应用程序的电脑进行验证,发现下载安装了搜狗浏览器后,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆。随后退出该系统,在工具栏里点击“智能填表”,选择管理表单数据,网页上会弹出一个表单,显示淘宝、QQ邮箱、公积金、12306火车订票系统等,继续点击,就出现了账号密码等信息。记者发现,这些账号是从来没有使用过的他人账号。为了验证这些账号的真实性,记者使用搜狗浏览器打开淘宝网站,再次点击智能填表系统中的“填写当前表单”,浏览器自动进入该用户的账户系统。微博上,众多网民也亮出各种泄露的账号密码,结合记者所见和网民披露,此次信息泄露涉及公积金、各类电子邮箱、彩票、淘宝、苹果携程、人人、12306火车票订票网站、一些政府部门网上管理系统,以及一些高校网站。

 

 

央视新闻对搜狗浏览器漏洞事件进行跟踪报道并验证

国际开源网络程序安全研究组织专家陈亮在接受央视采访时表示,自己在测试时候也发现了这一漏洞。陈亮分析认为,导致该漏洞的可能是其中一个插件接口存在问题。

从目前信息看来,存在这一问题的是搜狗浏览器4.2版。现在这一现象已经无法重现,同时有部分网友反映其搜狗浏览器(版本: 4.2.2.9903)“升级后网络搜藏夹所有分类都不见了 全部清空了”。

2013年11月7日下午:360公司召开媒体沟通会,通报了此次由于搜狗泄密而导致重大安全事故的情况,公布了搜狗收集用户隐私信息并泄漏的相关资料,并展示了完整的、经过法律公证的相关视频。

360技术人员分析认为:导致泄密的原因,是搜狗浏览器具有的自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候,搜狗会把收集的用户账号和密码从服务器回传到浏览器上,以方便用户使用。然而,由于搜狗的软件在同步方面存在设计缺陷,用户退出后,会触发该设计错误,导致服务器将大量其他用户的账号和密码回传到浏览器上,除了账号和密码外,还包括其他用户的收藏夹信息、历史记录等。

360方面表示,11月5日其就已经将相关情况通报了搜狗公司和国家互联网应急中心。

早几年前,浏览器就可以存储用户的账号、密码,方便用户再次登录时的操作。而现在许多浏览器里的“智能填表”功能,则是将用户在某些网站常用的账号、密码,甚至收藏夹数据、上网历史记录等信息上传到云端,方便用户在其他电脑使用对应浏览器时依然无需记忆自己的账号密码,实现自动登录。可以说“智能填表”功能的本意是为了方便用户的上网操作,当“智能填表”的数据保留在用户电脑上时,数据外泄的可能很小,除非用户电脑被恶意入侵。但在如今移动化的时代,为了方便用户随时、随地、在任意设备上依旧能够实现自动登录,就需要将用户希望保存的账号密码等数据存储在云端。而由于云计算自身的安全性问题,这就使得数据泄漏的风险加大。

从来都没有“绝对的安全”,所以建议相关浏览器厂商未雨绸缪,当用户选择类似将个人数据存储在云端的操作时进行安全提醒。而且,用户也需要定时更换自己的密码。至于正在使用搜狗浏览器的用户们,无论本次搜狗浏览器漏洞事件里所述问题是否真实存在,现在立即修改您相关帐号的密码是最为明智的选择。以防万一,永不为过。

注释:文中部分内容摘取自网络新闻。

原文:http://tech.ccidnet.com/art/1099/20131108/5243321_1.html

联系站长租广告位!

中国首席信息安全官