昨日,繼安全機構發佈360流覽器和360搜索多個安全性漏洞後,廣發證劵、國海證券、國信證券和海通證券四家證券公司接連發佈內部緊急通知,禁止員工使用奇虎360安全衛士、360安全流覽器兩款軟體,並要求已安裝這兩款軟體的員工儘快卸載。
國信證券公司內部郵件顯示,“奇虎360公司旗下‘360安全衛士’、‘360安全流覽器’兩款軟體存在著重大安全性漏洞。在未經許可情況下,360相關軟體可能上傳公司員工流覽記錄、網頁Cookie和暫存檔案資料至外網伺服器,並通過360搜索被公司外其他人檢索和流覽。”
在360流覽器的隱私權原則中,注明了360安全流覽器會在您的電腦上記錄有關流覽歷史記錄的實用資訊。這些資訊包括:
流覽歷史記錄、您訪問過的大部分網頁的的螢幕截圖、Cookie或網路存儲資料、訪問網站時留下的暫存檔案、位址欄下拉清單、最近關閉的標籤列表、關閉窗
口時的未關閉標籤列表、使用內置安全下載器的下載記錄、流覽器外掛程式中保存的內容等。由於360搜索採取通過流覽器抓取資料的方式,這些內容都有可能通過 360搜索被直接暴露到搜索結果中。
由於涉及隱私安全問題,銀行證券等金融行業對360軟體一直採取非常謹慎的態度,此次360搜索通過流覽器抓取用戶隱私,或將成為一個導火索,引發金融企業大面積卸載360流覽器和安全產品。
記者對此採訪了專注于互聯網安全的烏雲漏洞平臺的技術專家,他表示:“從現有的一些案例來看,360搜索會通過360安全衛士和360流覽器將用戶 平時流覽網頁的資訊回饋給360的搜索爬蟲伺服器,然後再由爬蟲對相關資訊進行抓取,這就可能會造成許多網站不能對外的如後臺位址,內部系統等暴露在搜索
結果裡,引發敏感性資料的洩露,360搜索爬蟲無視robots協議,違規抓取網站內容,儘管在後續的對相應資料有調整,但仍有潛在威脅,因為對於像證券公
司、銀行這些企業來說,對資料的安全要求性非常高,如果造成資料洩露,就會造成較大影響。”
360軟體安全性漏洞與搜尋引擎結合帶來的問題並不是首次被提及。早在2010年末,殺毒軟體金山公司就公開發佈聲明,指出360通過用戶端秘密收集使用者資訊,並導致大量中國互聯網用戶使用互聯網的隱私記錄洩露,造成中國互聯網史上最為嚴重的隱私搜集及洩密事件。
記者瞭解到,除了對安全系統有較高要求的證券公司,不少普通用戶最近也開始擔憂被360曝光隱私。微博上有不少網友爆料,不僅國內知名網游的後臺訂單,優惠碼等敏感記錄被360抓取,甚至一些使用者的電子郵箱、帳號、密碼也被360通過流覽器悄然記錄在案。
沒有留言:
張貼留言