今日下午,360公司召开记者会对外公布了搜狗浏览器存在安全漏洞泄漏用户隐私的最新证据。360公司副总裁曲晓东表示,360公司已将用于验证搜狗浏览器安全漏洞泄漏用户隐私信息的证据上交到国家互联网应急中心,并且建议搜狗浏览器用户及时更改密码,防止黑客利用已泄漏信息进行不法行为。
在360对外公布的搜狗浏览器泄漏用户隐私信息的视频中,使用搜狗浏览器最新的4.2版本用户,如果使用QQ账户登录搜狗浏览器后点击退出登录,搜狗浏览器会自动下载表单数据到本地,其中包括其他搜狗浏览器用户默认保存在“智能填表”服务中的私人账户及密码信息。而后如果用户使用搜狗浏览器的“自动填表”功能即可登录信息已遭泄漏用户的相关账户。
在视频证据中,360发现遭泄漏的信息不乏网银、支付宝、电子邮箱、社交媒体、政府、学校及企业内部管理系统等重要隐私信息。据360安全工程师介绍,使用搜狗浏览器4.2版本用户比较容易触发该风险,但其他版本的搜狗浏览器用户信息都可能被泄露到使用搜狗浏览器4.2版本用户的电脑中,并且已泄露信息无法控制,用户需尽快更改密码以确保信息安全。
曲晓东称,搜狗泄密是一次罕见的互联网安全事故。360公司于11月5日发现该事故后已经迅速取证上交到国家互联网应急中心并通知搜狗公司,360强烈呼吁搜狗浏览器用户尽快更改密码。
对于搜狗浏览器为何出现安全漏洞导致用户隐私信息遭泄露的原因,360公司安全工程师分析,由于漏洞触发条件是在搜狗浏览器本地与云端同步过程中,所以疑似为搜狗浏览器的同步服务器设计存在缺陷,导致同步过程中触发安全风险。另外,搜狗公司并未对用户密码进行加密处理,导致被泄露的信息可以直接用来登录相应网站。
11月6日,央视《24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目详细报道了记者验证该漏洞信息的全过程,并且漏洞报告平台WooYun(乌云)也于11月5日发布了搜狗浏览器存在漏洞的消息。
目前,据360相关人员表示,搜狗浏览器泄露问题已经得到修复。搜狗公司也于今日晚些时候紧急召开记者会,表示搜狗浏览器不存在所谓的安全漏洞,并称该事件完全由360操纵,属于恶意竞争行为,未来将诉诸于法律。