昨日,繼安全機構發佈360瀏覽器和360搜索多個安全漏洞後,廣發證劵、國海證券、國信證券和海通證券四家證券公司接連發佈內部緊急通知,禁止員工使用奇虎360安全衛士、360安全瀏覽器兩款軟件,並要求已安裝這兩款軟件的員工儘快卸載。
國信證券公司內部郵件顯示,「奇虎360公司旗下『360安全衛士』、『360安全瀏覽器』兩款軟件存在着重大安全漏洞。在未經許可情況下,360相關軟件可能上傳公司員工瀏覽記錄、網頁Cookie和臨時文件數據至外網伺服器,並通過360搜索被公司外其他人檢索和瀏覽。」在360瀏覽器的私隱策略中,註明了360安全瀏覽器會在您的計算機上記錄有關瀏覽歷史記錄的實用信息。這些信息包括: 瀏覽歷史記錄、您訪問過的大部分網頁的的屏幕截圖、Cookie或網絡存儲數據、訪問網站時留下的臨時文件、地址欄下拉列表、最近關閉的標籤列表、關閉窗口時的未關閉標籤列表、使用內置安全下載器的下載記錄、瀏覽器插件中保存的內容等。由於360搜索採取通過瀏覽器抓取數據的方式,這些內容都有可能通過 360搜索被直接暴露到搜索結果中。
由於涉及私隱安全問題,銀行證券等金融行業對360軟件一直採取非常謹慎的態度,此次360搜索通過瀏覽器抓取用戶私隱,或將成為一個導火索,引發金融企業大面積卸載360瀏覽器和安全產品。
記者對此採訪了專注於互聯網安全的烏雲漏洞平台的技術專家,他表示:「從現有的一些案例來看,360搜索會通過360安全衛士和360瀏覽器將用戶平時瀏覽網頁的信息反饋給360的搜索爬蟲伺服器,然後再由爬蟲對相關信息進行抓取,這就可能會造成許多網站不能對外的如後台地址,內部系統等暴露在搜索結果里,引發敏感數據的泄露,360搜索爬蟲無視robots協議,違規抓取網站內容,儘管在後續的對相應數據有調整,但仍有潛在威脅,因為對於像證券公司、銀行這些企業來說,對數據的安全要求性非常高,如果造成數據泄露,就會造成較大影響。」
360軟件安全漏洞與搜尋引擎結合帶來的問題並不是首次被提及。早在2010年末,殺毒軟件金山公司就公開發布聲明,指出360通過客戶端秘密收集用戶信息,並導致大量中國互聯網用戶使用互聯網的私隱記錄泄露,造成中國互聯網史上最為嚴重的私隱搜集及泄密事件。
記者了解到,除了對安全系統有較高要求的證券公司,不少普通用戶最近也開始擔憂被360曝光私隱。微博上有不少網友爆料,不僅國內知名網遊的後台訂單,優惠碼等敏感記錄被360抓取,甚至一些用戶的電子郵箱、帳號、密碼也被360通過瀏覽器悄然記錄在案。
