香港新浪網 MySinaBlog
« 上一篇 | 下一篇 »
daiqianwen | 29th Feb 2008 | 交友 | (4137 Reads)

當網絡通信、交易日漸成為人們日常生活不可分割的一部分時,網絡信息安全問題也日益凸顯。也許你從未想到,有一天,別人只需在 搜狗搜素裡鍵入一個鏈接的關鍵詞,你的密碼保護系統就可能土崩瓦解,郵箱將毫不設防地暴露在陌生人面前。 2月25日下午,一位網友發現通過搜狗搜索,可以輕易搜到大量雅虎郵箱用戶的隱私資料。

“搜狗真強大,雅虎真安全”

這 是一位網友的調侃之詞,卻成了對整件事件最精闢的概括。 2月25日下午4時左右,一位網友曝料稱他在使用搜狗搜索引擎時,無意中發現其雅虎郵箱的個人註冊信息可在搜狗的搜索結果中找到。很快,人們發現在搜狗搜 索中,只需要以“site:member.cn.yahoo.com”為關鍵詞,就能搜出大量的註冊信息,共計1358個相關網頁。根據頁面截圖顯示,可 以從中獲得YahooID、雅虎郵箱、出生日期、密保問題和答案這樣一些絕對隱私的關鍵信息。如果再得知用戶所在地郵編,則即可以輕鬆盜取該郵箱。
而在雅虎洩密的同時,眾多網友繼而發現中國聯通“掌中寬帶”個人門戶網站也“中了標”。通過搜索“site:211.90.118.15”,人們可以輕易查到諸多用戶的手機號碼、選擇套餐類型、賬戶餘額等等關鍵性信息,甚至可以獲得“最致命”的密保內容。
25日下午4時58分左右,搜狗進行了處理,原有搜索方式失效。但很快有人發現,“site:https: //member.cn.yahoo.com”仍然有效,雖然不再能點擊進入,從搜索預覽中卻仍能獲得大量雅虎賬戶的密保信息。而在筆者的實時測試中,這 一漏洞至少直到26日下午才得被修復。
而這一切,只能在搜狗搜索中實現。筆者反複測試其他幾家搜索引擎產品,均未發現類似現象。同時,大量網友的測試也證實了這一點。
問題何在?

搜狗、雅虎各執一詞

大量個人信息外洩,不得不引發了諸多電子郵箱、網上支付使用者的密切關注。這不比以往搜索引擎從靜態的博客、交友網站上抓到了你的密碼。這一次,搜狗搜索是在用戶必須在相應網站輸入賬號、密碼,才能進入的加密狀態下的動態頁面上洩出了秘密。
問題究竟出在誰身上?在筆者的採訪中,雅虎、搜狐各執一詞,均稱自身技術、安全手段並非出錯。  婚姻介紹    交友

在 接受筆者採訪時,雅虎公關部負責人王彤表示,雅虎郵箱本身的安全並沒有問題,雅虎的ID是全球通用的,相關安全設置也是統一的,在其他國家地區也從未出現 過這樣的情況。此次的信息洩露是在去年之前的註冊環節中發生的,我們在25日下午確認問題存在後,立刻就採取了相關措施。並隨即與搜狐方面進行了溝通,解 決了這一問題。
對於這一問題出現的原因,王彤表示,很可能是由於部分雅虎用戶電腦上安裝了搜狗輸入法和搜狗工具條。目前這兩種軟件被懷疑在用 戶登陸賬號時,於其不知情的情況下將動態加密頁面的內容髮至了搜狗搜索的服務器。 “搜狗搜索本身根本沒有能力能搜到這些敏感信息,根源應該在於輸入法和工具條。我們25日下午發現問題後第一時間和搜狗方面進行了溝通,他們也封閉了相關 搜索鏈接。 ”
筆者採訪的幾位資深網絡安全人士也對此說法表示了一定程度上的認同。而來自搜狐的回答則對此表示了堅決的否認。在搜狐官方發來 的解釋中寫道:“這次的事件跟搜狗工具條和搜狗輸入法完全沒關係,搜狗工具條因為有Sogou Rank的顯示(也可配置關閉),所以會把用戶訪問的url請求服務器(原理和實現同Google工具條),但並沒有傳遞用戶的任何相關信息回服務器。因 為雅虎的這批數據最後更新時間是2007年,所以我們已經沒有辦法給出是從哪個互聯網資源解析出的鏈接了。至於很多技術人員提出的https無法通過分析 的方式獲得,說法是不科學的。比如在搜狗和谷歌上都能查到https://www.etrade.com這個使用https協議的網站。”同時,搜狐方面 還呼籲此次事件中洩露用戶信息的網站加強自身安全保障措施。

保護隱私養成謹慎上網習慣

雙方孰是孰非,一時爭論或許不能對廣大網民帶來更多幫助。而最近頻頻引發的網絡隱私信息洩密事件,則又一次給我們提了一醒。
其 實,在雅虎與“掌中寬帶”之外,支付寶也洩露了部分資料。由於支付寶已於去年12月啟用了第二代安全接口,故而沒有洩露賬號安全信息。但是在此之前的大量 網上交易下單記錄頁面可以輕易被發現。筆者甚至在搜索結果中查到多則涉及高度個人隱私的商品購買記錄,自然是當事人所極不願洩露的信息。
某國 內殺毒軟件廠商的安全工程師在接受采訪時表示,很多情況下,網絡用戶由於相關知識的缺失而在瀏覽器插件的使用選擇上過於輕率。對於自己不熟悉的瀏覽器插 件,應謹慎安裝、使用;同時,不要將銀行密碼等重要信息存放在電子郵箱特別是免費的電子郵箱中;電子郵箱密碼也切忌與銀行卡密碼或者網上支付卡密碼雷同。
而另外一位業內人士則指出,在對網絡軟件、服務提供免費使用的同時,網絡服務商也應對基於流量和用戶數據採集的網絡商業模式不斷自我規範、反思,這將是本次事件可能給人們帶來的最大的啟示。speed dating    


[1] g

88


[引用] | 作者 g | 2nd Oct 2008 | [舉報垃圾留言]