360

    3Q大战告一段落，但硝烟并未散去。2010年的最后一天，一场关于用户隐私的战争再次爆发，有意思的是，这次涉嫌泄漏用户隐私的主角正是3Q大战中的“安全卫士”360。

    2010年12月31日下午，金山指责360收集网友隐私，包括用户访问网站记录、搜索记录以及用户名密码等信息，并以360服务器被谷歌抓取的日志作为证据。360则回应称这是上传恶意网站的正常功能，金山也有这一功能。而此次被G oogle抓取到的日志中，不到万分之一的URL含用户名和密码等信息“泄漏风险非常有限”。

    事件

    用户资料外泄长达14小时

    “没想到2010年会以这样的方式结束工作。”2010年12月31日下午4点许，金山网络C EO傅盛在微博上写下这样一句话。就在此时，金山召开紧急新闻发布会，称其安全中心接到用户举报，在G oogle网站上可以搜索到大量中国网民使用互联网的隐私记录，甚至包括用户登录网站或邮箱的用户名、密码。而这些数据的来源，正是之前3Q大战中的“安全卫士”360。

    发布会在网上进行了直播，现场展示了部分案例，这些案例分别涉及360用户在百度、谷歌、搜狗等搜索引擎上的搜索历史、邮箱等服务的用户名密码，以及某些内部网络的登录地址、文档信息等内容。

    金山网络称，经过验证发现，360在通过其他客户端秘密手机网友信息，但由于服务器的配置问题，导致记录大量用户信息的日志文件被G oogle收录索引，导致大规模外泄。金山呼吁360用户尽快修改密码信息。

    金山网络技术工程师李铁军在接受本报采访时表示，现在很多安全厂商都使用云技术，都会上传一些信息到云服务器上作匹配，以此判断链接是否安全。“但是云安全不应该是肆意收集用户隐私的遮羞布。”李铁军说，首先这些恶意网址在上传的时候是不会与用户电脑进行对应的，更不会对用户电脑的几乎所有操作都上传，比如新浪、网易、Q Q等已被认证的网站、用户口令等唯一标识信息都会过滤之后才上传，而且上传供验证的部分恶意网址也不会被服务器保存。

    李铁军认为，从360泄漏的日志来看，包含的用户信息非常详细，明显超过了上述范围，“虽然普通用户看不懂，但一旦被黑客利用，就非常危险了。”

    据了解，泄漏的日志最早2010年12月31日上午6点许就在网上传播了，直到当晚10点，G oogle才将这些信息的网页快照完全屏蔽。

    网友验证

    利用日志成功登录携程代理后台

    在网页快照屏蔽前几个小时，新浪微博用户Joey_Y in写道：“我在360的帮助下完成了2010年的最后一次入侵检测或者说H acking，利用360收集的用户行为日志中找到了携程某代理商的身份认证信息，成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢？”

    记者联系到该新浪微博用户，他真名叫殷钧钧，是成都一家外企的安全架构师，自称与金山和360无任何关系，只是在金山召开新闻发布会后，出于职业敏感，想了解事件的真相。

    “我这里已经过滤出来了几百个密码文件，没时间一一验证，不过都是各类管理系统后台、论坛、邮箱。”殷钧钧表示，在金山披露360涉嫌泄漏用户隐私之后，通过G oogle还能抓取到10%左右的日志，但更早发现这一情况的人，应该下载了更多的数据。[page]

    360回应

    含用户名密码的信息只有万分之一

    由于元旦期间放假，记者先通过微博私信向360提出采访要求，对方给记者发回一份官方声明。该声明称：“金山公布的所谓‘360收集用户隐私’，实为360为帮助用户鉴别恶意网址而上传到360云安全中心查询的临时网址访问记录。”

    之所以日志中包含一些用户名和密码，是因为“极少数具有安全漏洞的网站将用户名和密码信息编写在网址U R L中以便传递给其他服务器进行身份认证。”360表示，经过统计，发现其中带有用户名和密码信息的网址不到万分之一，而且与G oogle公司核对发现，被抓取的只是少量日志，而且目前G oogle已经删除了这部分数据，“因此，此次事件可能导致的用户隐私信息泄漏风险是非常有限的。”而泄漏的原因是“服务器遭到了攻击”。

    到底360此次泄漏的日志有多少？网友“小彭学SEO”在新浪微博上发文称，一开始通过搜索能找到8000多条记录，每条记录大概2万条上网数据，大约1.4亿条网址记录。如果按360“不足万分之一”的说法，那么也差不多有1万条网友隐私信息存在泄漏的可能了。

    观点PK

    金山

    站出来是出于用户的安全

    金山网络技术工程师李铁军在接受本报记者采访时称，这次事件与口水战无关。“在了解到这个事件后，我们也曾经犹豫，金山如果站出来说的话是会被一些人看成竞争手段。但是，当我们分析这些数据后，我们感到很恐惧，因为这个事件对网民的影响太大了。如果我们不及时说，让公众知道这个危险，那整个互联网的损失将是巨大的，所以我们最后决定站出来。这件事情的核心是用户安全。”

    360

    金山欲抹黑360

    针对查询日志泄漏网友隐私的问题，360表示，U RL云查询产生的查询日志几天时间就会被清除掉，而且由于360不记录用户的身份信息，所以并不涉及用户隐私。这对这部分包含用户信息的U RL，会通过定期清除的机制来保证数据安全。

    360认为，金山出于商业目的，通过捏造事实，无限放大事件的后果，宣称3亿网民面临隐私信息被窃取的风险，并发布虚假的“安全预警”新闻，其目的无非是想制造公众恐慌情绪来攻击360，来达到推广自己的产品的目的。

    网友点评

    过早公布漏洞违反安全原则

    新浪微博网友Joey_Yin认为，虽然360泄漏用户隐私是事实，但金山第一时间召开新闻发布的做法“不够厚道”。“安全界的原则，黑客发现这些漏洞之后第一反应应该是通知有漏洞方，避免造成用户损失。”Joey_Yin表示，如果金山不开发布会，很多人就不会知道这个漏洞，虽然在金山看来是在通知用户，但同时也给黑客提供了信息。如果是先通知Google删除数据，之后再开发布会才是合适的做法。但这样做，360弥补之后可能就不会承认了，“所以大家看的都还是利益。”