搜狗瀏覽器疑存重大安全漏洞 網絡泄密風波再起

　　一個安全論壇上的偶然發現，揭開了中國網絡安全本年度的最大事件，引起了一場軒然大波。

　　11月5日，卡飯論壇上有網友反應搜狗瀏覽器存在重大安全漏洞，隨后360發出安全提示，稱搜狗瀏覽器“智能填表”功能出現重大漏洞，並呼吁用戶盡快更換密碼。之后，圍繞搜狗瀏覽器的紛爭繼續在整個互聯網乃至社會層面不斷發酵。

　　記者昨日獲得最新消息顯示：工信部已經關注此事件的發展，將積極應對和有效處置各類網絡安全威脅，嚴厲打擊泄露用戶個人信息的行為。搜狗泄密事件究竟從何而起，如何了結？

　　網曝搜狗泄密

　　安全專家親身驗証

　　11月4日，在著名的安全網站論壇裡，有網友發現，在搜狗升級瀏覽器后，使用QQ賬號登錄搜狗瀏覽器，退出后搜狗瀏覽器自動同步了其他用戶的自動填表信息和收藏夾等內容，包括QQ、郵箱、支付寶、銀行等涉及用戶財產的賬戶信息，甚至可以直接進入其他人的支付寶進行轉賬購物，直接支付交易。

　　１１月５日，360通過微博發布“搜狗重大安全漏洞”，稱接到用戶反饋，通過驗証確認這是搜狗瀏覽器將大量用戶賬戶密碼及收藏夾同步到了他人電腦所致。360方面表示，已緊急通知國家互聯網應急中心和搜狗公司，並請搜狗瀏覽器用戶務必修改所有賬戶密碼，在搜狗修復漏洞之前暫停使用。下午4點左右，著名的漏洞報告平台烏雲發布報告，確認了該漏洞的存在，並稱已將漏洞報告給了搜狗。

　　針對搜狗瀏覽器漏洞導致部分用戶隱私信息泄露，央視新聞頻道當晚進行了追蹤報道。

　　國內知名安全專家，OWASP北京負責人、長城中電安全實驗室主任陳亮此前在接受媒體採訪時表示，他在看到相關消息后，馬上對此漏洞進行了驗証，確認該漏洞確實存在。

　　對此，中國電子商務研究中心主任曹磊在接受《國際金融報》記者採訪時表示：“類似的用戶個人信息泄露在互聯網領域普遍存在。所謂個人信息包括2類，一類是姓名、住址等基本信息﹔另一類是賬戶、密碼等交易類信息。”

　　搜狗快速反應

　　不存在安全事故

　　搜狗方面也做出了快速的反應。11月5日下午3時53分，搜狗通過微博發布了致用戶書。搜狗表示，在發現網帖后立即組織技術團隊進行了查証，確認網上所傳的現象並不存在。同時，搜狗稱一直重視隱私的保護。

　　搜狗方面表示，搜狗瀏覽器安全可靠，並無所謂漏洞，請廣大用戶放心使用。針對360向媒體播放的証據視頻，搜狗公司稱，360的視頻不能為它的抹黑說法提供任何証明，隻要通過賬號同步功能，在A電腦上用某個QQ賬號登錄瀏覽器后，同時在B電腦瀏覽器上登錄同一個QQ賬號，即可導入表單數據，再同步到A電腦上，這是賬號同步機制正常的功能特性。

　　360有關負責人在接受《國際金融報》記者採訪時表示，無論是競爭對手還是合作伙伴，無論是系統廠商還是運營商、媒體、銀行，隻要確實存在對用戶上網安全造成風險、並需要立即採取措施的嚴重問題，360都會第一時間發布警報。

　　國內另一安全廠商瀚海源CEO方興分析：這次的安全漏洞問題可能出在搜狗瀏覽器的雲同步上，第一，無法確認搜狗瀏覽器的雲同步是否得到用戶授權﹔第二，能夠同步到其他用戶的信息，可能內部管理問題。

　　安全警鐘長鳴

　　關注網絡信息安全

　　“此次事件最終如何落幕尚待時間來判定，不過對於廣大網民來說，自己用的瀏覽器究竟有沒有安全風險，可能更受關注。”在曹磊看來，“對於眾多瀏覽器廠商來說，這次事件也是一個促進其更好地檢驗自身產品、提升用戶滿意度的機會。”

　　“隨著網絡的發展，如銀行卡、賬號、登錄密碼等核心個人信息越來越多存儲在電腦與網絡上，若有丟失則屬於嚴重安全問題，不容忽視。”曹磊認為，要斷定搜狗瀏覽器是否存在用戶隱私信息泄露的情況仍需要進一步調查。

　　有調研報告顯示，超過60%的被訪者遭遇過個人信息被盜用，這一數字仍在增長。今年7月，工信部公布了《電信和互聯網用戶個人信息保護規定》，其中規定信息服務提供商不得泄露用戶姓名、身份証號等，違反者罰最高3萬元以及“記入社會信用檔案”等。這一規定不僅涉及到運營商、互聯網企業，還涵蓋了更多的行業。（記者 張穎）