上周,著名的搜狗浏览器被网友在网络论坛爆出浏览器存在安全漏洞,大量用户账户被泄露,而搜狗则矢口否认。11月7日,呼吁用户尽快更改密码的360公司和当事人一方的搜狗同日召开发布会,一方面360坚持认为搜狗浏览器泄密,要求用户更改密码,搜狗方面则明确指责360恶意抹黑。
360在其召开的媒体沟通会上,通报了此次由于搜狗泄密而导致重大安全事故的情况,公布了搜狗收集用户隐私信息并泄漏的相关资料。360方面还发布了据称是搜狗收集用户隐私信息并泄漏的相关资料。并有技术人员现场分析说,导致泄密的原因,是搜狗浏览器具有自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。360称,为尽量降低政府、高校、电信、企业以及其他重要公用事业部门网络信息系统面临的风险,360建议用户和企事业单位尽快对使用过搜狗浏览器的电脑终端进行安全排查,立即更改在电脑上登录过的所有各类账户密码。
360方面坚称,搜狗浏览器出现的重大安全事故,导致大量用户网银、支付账户以及企事业内部系统账户信息泄露,不仅给广大网民的个人隐私带来危害,给财产安全造成威胁,同时也给政府、高校、公用事业部门以及电子支付、电子商务等重要信息系统埋下了重大的安全隐患。
据报道,近日在搜狗官方网站和一些安全论坛上,陆续有用户反馈搜狗浏览器出现异常的信息。已经有用户对此进行了验证并发布在微博上,有淘宝、国家质检总局、南昌大学、江苏烟草专卖局、网易邮箱、神州租车、人人网、合肥市住房公积金管理中心等多个机构账户涉及被泄露。当天下午,著名漏洞报告平台乌云发布了搜狗浏览器存在漏洞的消息。中央电视台有栏目详细报道了记者亲自验证该漏洞信息的全过程,新华社等媒体先后以“搜狗浏览器大量泄露用户账号密码”等为题报道了这一事件。
360技术人员分析,导致泄密的原因,是搜狗浏览器具有的自动填表功能,这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候,搜狗会把收集的用户账号和密码从服务器回传到浏览器上,以方便用户使用。然而,由于搜狗的软件在同步方面存在设计缺陷,用户退出后,会触发该设计错误,导致服务器将大量其他用户的账号和密码回传到浏览器上,除了账号和密码外,还包括其他用户的收藏夹信息、历史记录等。
