[轉(zhuǎn)] 360上傳證券期貨用戶名密碼 證券機(jī)構(gòu)驚慌自衛(wèi)
這是一個(gè)令人驚駭?shù)膯栴},A公司新聞發(fā)言人當(dāng)即堅(jiān)稱,公司證券期貨系統(tǒng)是國內(nèi)最為規(guī)范而嚴(yán)格的系統(tǒng),絕無可能被侵入。但告訴上述新聞發(fā)言人,《每日經(jīng)濟(jì)新聞》手中握有A公司客戶使用360軟件導(dǎo)致其在中國期貨保證金監(jiān)控中心系統(tǒng)絕密信息外泄的視頻證據(jù)。
該新聞發(fā)言人聽聞此事,并根據(jù)《每日經(jīng)濟(jì)新聞》提供的視頻證據(jù)信息進(jìn)行內(nèi)部核查,最終證實(shí)了該視頻信息的準(zhǔn)確性。很快,該消息通過A公司傳到該公司旗下的期貨大客戶被泄露賬戶密碼等私密信息的受害客戶華平平那里,其當(dāng)場(chǎng)表示:令人震驚。
突如其來的泄密:期貨大戶隱私信息“裸奔”
事情起源于今年3月初,《每日經(jīng)濟(jì)新聞》接到爆料,一位自稱陳明的網(wǎng)友稱其手中有一個(gè)絕密視頻,內(nèi)容是其通過360服務(wù)器外泄數(shù)據(jù)而意外“進(jìn)入”中國期貨保證金監(jiān)控中心系統(tǒng),進(jìn)而獲得用戶期貨交易等相關(guān)隱私信息。
陳明告訴,2月26日,其從網(wǎng)上閱讀了《每日經(jīng)濟(jì)新聞》獨(dú)家的《360黑匣子之謎奇虎360“癌”性基因大揭秘》,對(duì)其中揭露的360涉嫌存在竊取用戶隱私,并為了商業(yè)利益通過在“360安全衛(wèi)士”“360安全瀏覽器”中植入“后門”與360云端配合,粗暴侵犯網(wǎng)民隱私權(quán)、知情權(quán),破壞行業(yè)規(guī)則和秩序的問題“感到震驚”,并表示贊同。
事實(shí)上,陳明只是眾多爆料人中的一位。自《每日經(jīng)濟(jì)新聞》刊發(fā)上述之后,大量用戶、受害者、技術(shù)愛好者均通過各種渠道,向提供了各類360涉嫌“作惡”的證據(jù)。
陳明表示,過去幾年,360由于涉嫌上傳用戶隱私而遭受的指責(zé)眾多。而目前其掌握的這一份視頻證據(jù),意味著360服務(wù)器涉嫌每時(shí)每刻都在上傳大量用戶的隱私數(shù)據(jù),其中甚至包括極為敏感的金融證券系統(tǒng)的賬戶和密碼!
為了證實(shí)陳明手中視頻內(nèi)容的真實(shí)性,《每日經(jīng)濟(jì)新聞》三地聯(lián)動(dòng),通過各種渠道采訪,并最終找到了A公司的期貨大戶華平平。
當(dāng)A公司證實(shí)了視頻內(nèi)容的真實(shí)性后,馬上意識(shí)到了事情的嚴(yán)重性,該公司新聞負(fù)責(zé)人坦言:他們也不理解這類機(jī)密信息會(huì)被360服務(wù)器收集的背后原因。
A公司一位內(nèi)部人士透露,針對(duì)上述事件,A公司三地高層臨時(shí)召開電話會(huì)議,試圖應(yīng)對(duì)這一次泄露事件可能導(dǎo)致的重大品牌危機(jī),同時(shí)公司IT部門也在調(diào)查此事,并研究應(yīng)對(duì)方案。
至此,360涉嫌竊取國內(nèi)安全級(jí)別極高的證券金融行業(yè)用戶隱私的證據(jù),終于曝光于世。這也意味著,通過360服務(wù)器的數(shù)據(jù),任何人都可以潛入中國安全等級(jí)極高的一些證券系統(tǒng)后臺(tái),“替”大客戶進(jìn)行大額資金操作,甚至是資金轉(zhuǎn)移。最為恐怖的是,整個(gè)過程神不知鬼不覺,這些證券大戶們根本不知道,自己原來是在“裸奔”。
隱私信息“被現(xiàn)場(chǎng)直播”:三段視頻浮出水面
陳明最初是通過網(wǎng)絡(luò)方式向《每日經(jīng)濟(jì)新聞》提供了其通過360服務(wù)器外泄數(shù)據(jù)而意外“進(jìn)入”中國期貨保證金監(jiān)控中心系統(tǒng),獲取用戶重要信息的相關(guān)證據(jù)。
根據(jù)陳明自述,此證據(jù)是其在2010年12月31日獲取的,一共分為三個(gè)部分。
第一部分和第二部分(這兩部分已合并為“視頻1”,可直接掃描“二維碼1”觀看;或訂閱每日經(jīng)濟(jì)新聞官方微信號(hào)2202419768,回復(fù)“視頻1”觀看)顯示,通過在線瀏覽360服務(wù)器upload.360safe.com,可以清晰地看到大量網(wǎng)民在2010年12月的上網(wǎng)瀏覽記錄,包括在淘寶的瀏覽記錄、訂單操作過程,訪問好友QQ空間,通過百度搜索哪些電影、下載什么播放軟件等皆可被現(xiàn)場(chǎng)直播……
事實(shí)上,上述兩段視頻在2010年曾經(jīng)一度熱傳過,但如今已被刪得所剩無幾。
最為關(guān)鍵的第三段視頻 (掃描“二維碼2”觀看“視頻2”;或訂閱每日經(jīng)濟(jì)新聞官方微信號(hào)2202419768,回復(fù)“視頻2”觀看)則是首次曝光,視頻顯示,從360泄露的用戶瀏覽日志文件中復(fù)制出某金融機(jī)構(gòu)的網(wǎng)址及其訪問請(qǐng)求參數(shù),通過瀏覽器進(jìn)入目標(biāo)網(wǎng)頁,便可獲得證券期貨市場(chǎng)大客戶的絕密信息。
以已經(jīng)被證實(shí)真實(shí)身份的華平平為例,通過視頻可以清晰看到他的真實(shí)姓名、期貨公司名稱、賬號(hào)、資金量、下單交易記錄等,每一次詳細(xì)操作的記錄、出入金明細(xì)、成交匯總、持倉匯總以及客戶期貨結(jié)算的賬戶等敏感信息被暴露無疑。
與陳明一樣下載過360泄密信息的一位安全工作人員殷某也曾經(jīng)有過這樣意外的發(fā)現(xiàn)。2010年12月31日,其發(fā)布微博稱,“我在#360#的幫助下完成了2010年的最后一次入侵檢測(cè)或者說Hacking,利用#360#收集的用戶行為日志中找到了#攜程#某代理商的身份認(rèn)證信息,成功進(jìn)入該代理商的攜程管理后臺(tái)。不過俺沒干壞事。你說這事兒我得通知誰呢?”
在《每日經(jīng)濟(jì)新聞》獲得的360服務(wù)器外泄的數(shù)據(jù)中,還有其他幾位受害人的機(jī)器碼、所屬期貨公司ID等信息,這也意味著只要通過360服務(wù)器記錄的這些外泄數(shù)據(jù),任何人都可以輕易地侵入這些客戶的資金賬戶,獲得用戶敏感信息。
這些翔實(shí)的視頻證據(jù),意味著360不僅涉嫌上傳用戶網(wǎng)址,而且存在刻意收集用戶賬戶和密碼的嫌疑。如果不是陳明將上述視頻曝光,以及《每日經(jīng)濟(jì)新聞》的聯(lián)系求證,這些帶有用戶隱私數(shù)據(jù)的重要信息或許一直會(huì)神不知鬼不覺地保存在360服務(wù)器,而被入侵的A公司和華平平等用戶本人至今或許還蒙在鼓里。
在稿件操作過程中,基于私人信息保密的需要,華平平婉拒了《每日經(jīng)濟(jì)新聞》的采訪請(qǐng)求。
360隔空取物?借助系列產(chǎn)品窺“孤島”
在長(zhǎng)期關(guān)注信息安全漏洞相關(guān)問題的烏云漏洞報(bào)告平臺(tái)上,曾有專業(yè)人士披露過很多關(guān)于搜索引擎和云相關(guān)的安全問題報(bào)告。烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人認(rèn)為,期貨、股票的操作信息與賬號(hào)等隱私信息是互聯(lián)網(wǎng)上最機(jī)密的部分,在任何情況下,被第三方抓取或獲得的可能性都幾乎可以忽略不計(jì),但為什么某些特殊搜索引擎如360卻可以獲得呢?
該負(fù)責(zé)人指出,金融無疑是全球安全級(jí)別最高的行業(yè)之一,該體系完全是一個(gè)閉環(huán),它們就像完全意義上的密封“孤島”,外人一般只能在外圍“轉(zhuǎn)悠”,很難進(jìn)入到系統(tǒng)內(nèi)部,也就是說,傳統(tǒng)的搜索引擎從外部根本無法抓取到這些 “孤島”的信息,除非借助用戶需要使用的某些強(qiáng)大客戶端如瀏覽器,搜索引擎才可以直接抓取用戶終端上的訪問記錄和數(shù)據(jù)。
對(duì)于360能夠蹊蹺獲得這些機(jī)密信息的原因,微博名人、程序員“獨(dú)立調(diào)查員”解釋說,不管證券行業(yè)安全級(jí)別有多高,體系是多么繁瑣可靠,只要用戶上網(wǎng)的入口產(chǎn)品是360系列,或者安裝了360的網(wǎng)絡(luò)安全產(chǎn)品,這些“孤島”或者隱私信息,都存在被上傳到360服務(wù)器的可能性。
獨(dú)立調(diào)查員否定了這是通過360后門機(jī)制來截取的可能性。他分析說,360安全衛(wèi)士攔截并上傳用戶瀏覽行為的技術(shù)手段,與網(wǎng)絡(luò)工程師常用的網(wǎng)絡(luò)抓包分析工具類似。不同的是,360安全衛(wèi)士只需要實(shí)時(shí)攔截并分析HTTP協(xié)議數(shù)據(jù)包,從中提取用戶訪問的目標(biāo)網(wǎng)址,其攔截過程與結(jié)果對(duì)用戶來說都不可見,這并非360安全衛(wèi)士的后門,而是其固有功能,但此功能對(duì)用戶而言是個(gè)黑匣子,這個(gè)黑匣子對(duì)用戶隱私安全形成理論上的可能威脅。
獨(dú)立調(diào)查員感慨道,對(duì)于360上傳這些商業(yè)機(jī)密數(shù)據(jù)的情況,目前外界還知之甚少。不過可以想象的是,一旦360服務(wù)器被黑客攻克,或者這些數(shù)據(jù)被360泄露或?yàn)E用,對(duì)中國網(wǎng)絡(luò)和經(jīng)濟(jì)安全可能是災(zāi)難性的。
據(jù)陳明回憶說,上述隱私素材均為當(dāng)年從upload.360safe.com網(wǎng)站下載所取。
2010年12月30日6時(shí)38分,百度貼吧上一位名為“愛wu痕”網(wǎng)友發(fā)布了一條信息:看看這里面360都搜集了什么???這條信息后面附上了一個(gè)360存儲(chǔ)收集用戶信息的下載地址。
“上述公開鏈接被谷歌搜索爬蟲抓取后,進(jìn)入谷歌網(wǎng)頁庫,被網(wǎng)友搜索到,大公開?!标惷鞅硎?,他也在第一時(shí)間按照上述鏈接網(wǎng)址下載了相關(guān)的數(shù)據(jù)。
此后,更多的專業(yè)人士加入了下載、分析的行列,甚至他們?cè)诎踩搲発afan”討論此事。很快,360員工發(fā)現(xiàn)了服務(wù)器信息泄露的事實(shí),隨后在當(dāng)天10時(shí)30分左右關(guān)閉了upload.360safe.com/url_files/目錄瀏覽權(quán)限,12時(shí)30分左右移除了此文件目錄。
360服務(wù)器記錄的內(nèi)容,為何會(huì)被谷歌抓取泄露?這可能是眾多人看到這些被泄露在外的信息時(shí)的最大疑問。
“當(dāng)時(shí),360在第一時(shí)間對(duì)外表示,其服務(wù)器外泄用戶隱私的真相,是360一臺(tái)服務(wù)器遭黑客攻擊,導(dǎo)致少量數(shù)據(jù)外泄,被谷歌搜索引擎抓取。”但在陳明看來,“此次360服務(wù)器用戶隱私的數(shù)據(jù)泄密更有可能的原因是目錄權(quán)限沒配置好,而不是遭遇黑客攻擊。黑客攻擊獲取到用戶隱私數(shù)據(jù)后應(yīng)該是直接使用以謀利,怎么會(huì)通過貼吧論壇的方式無償對(duì)外公開呢?”
據(jù)《每日經(jīng)濟(jì)新聞》了解,根據(jù)搜索引擎爬蟲(一種自動(dòng)獲取網(wǎng)頁內(nèi)容的程序)原理,那些未被公開網(wǎng)址的目錄或文件,網(wǎng)絡(luò)訪問者(包括網(wǎng)民和搜索引擎爬蟲)是無法瀏覽或抓取的,而一旦網(wǎng)址被公開,搜索引擎爬蟲再次光臨該網(wǎng)站時(shí),就能順藤摸瓜地抓取到那些目錄或文件。
這正是360服務(wù)器隱私數(shù)據(jù)鏈接被張貼在百度貼吧后很快被谷歌搜索引擎爬蟲抓取、并被網(wǎng)民搜索到的原因,否則那些隱私數(shù)據(jù)即使出現(xiàn)權(quán)限控制問題,也是一個(gè)信息“孤島”,爬蟲照樣觸不可及。
獨(dú)立調(diào)查員進(jìn)一步指出,360已經(jīng)建立了一套“孤島”信息收集機(jī)制,其抓取的部分信息會(huì)直接在360搜索引擎上展現(xiàn),而更多更隱私的內(nèi)容或許會(huì)永遠(yuǎn)躺在360服務(wù)器中,直到被挖掘利用、或被泄露。
一個(gè)可以借鑒的真實(shí)故事是:去年9月,百度工程師針對(duì)360搜索展開的“鬼節(jié)捉鬼”實(shí)驗(yàn)已經(jīng)證明:只要使用360瀏覽器訪問“孤島”頁面,360服務(wù)器很快就能抓取這些頁面內(nèi)容,并完全在360搜索中展現(xiàn)出來。
隨后一個(gè)月,百度某高管在一次面向全國100家媒體開放日的非正式會(huì)議上,現(xiàn)場(chǎng)演示了一個(gè)360搜索引擎抓取手機(jī)用戶支付結(jié)果頁面的截圖。這些頁面與支付寶付款結(jié)果頁面類似,上面也有用戶姓名、手機(jī)號(hào)等敏感信息。根據(jù)360搜索頁面結(jié)果(見圖片1),“http://buy.#/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”這么復(fù)雜的鏈接,爬蟲是如何發(fā)現(xiàn)的?它的出處在哪里?為何搜索結(jié)果的數(shù)量有39萬之多?為什么直接點(diǎn)擊無法訪問?360此舉動(dòng)引發(fā)了相關(guān)政府部門的介入。
?。ǔ鲇谌松戆踩紤],本稿件署名均為化名)
觀點(diǎn)
360被指侵門踏戶 逾越安全邊界
此前360方面曾公開對(duì)外表示,安全軟件上傳網(wǎng)址監(jiān)測(cè)是行業(yè)慣例,帶有用戶名和密碼的網(wǎng)址記錄是由網(wǎng)站登錄機(jī)制造成的,并非安全軟件有意上傳。
而獨(dú)立調(diào)查員認(rèn)為,這是360為自己侵犯用戶隱私的行為所找的借口。在他看來,所謂云安全只是輔助機(jī)制,安全軟件應(yīng)盡可能排除可信的主流網(wǎng)站 (所有網(wǎng)銀、政府網(wǎng)站,以及主流門戶、新聞門戶、社交門戶、搜索門戶等),而不是收集并上傳所有網(wǎng)址;且在上傳網(wǎng)址時(shí),應(yīng)排除網(wǎng)址中的訪問請(qǐng)求參數(shù)等個(gè)人信息(網(wǎng)址中問號(hào)后接的全部子串)。另外,360即便要上傳網(wǎng)址,也沒有必要將其長(zhǎng)期保留在其私有服務(wù)器內(nèi)。安全廠商在驗(yàn)證其上傳的網(wǎng)址、確認(rèn)是安全網(wǎng)址后,即應(yīng)在做必要統(tǒng)計(jì)后廢棄,更沒理由與用戶機(jī)器唯一識(shí)別碼成對(duì)地存儲(chǔ)在服務(wù)器上。否則,這款軟件究竟是安全軟件還是間諜軟件?是為了用戶還是為了監(jiān)視用戶?他認(rèn)為有充分理由對(duì)這些問題打一個(gè)很大的問號(hào)。
“360明知大量訪問請(qǐng)求參數(shù)屬于用戶,而不屬于訪問目標(biāo)網(wǎng)站。任何安全軟件必須假設(shè)并接受"用戶本人無惡意",這是對(duì)用戶最起碼的尊重,除非其目的是監(jiān)控用戶而非監(jiān)控網(wǎng)站。云安全軟件可以在明確告知并取得用戶同意的前提下,上傳瀏覽網(wǎng)址的非用戶參數(shù)部分,以分析和阻止可能的惡意網(wǎng)址,且不得記錄用戶機(jī)器識(shí)別信息。這是最基本的隱私保護(hù)原則,而360安全衛(wèi)士完全不符合此原則要求,罔顧用戶隱私權(quán)以及由此衍生的財(cái)產(chǎn)權(quán)等個(gè)人權(quán)益?!?/p>
“至于用戶所訪問網(wǎng)站的技術(shù)實(shí)現(xiàn)方式、安全等級(jí)等,與360公司有什么關(guān)系呢?退一步講,即使目標(biāo)網(wǎng)站允許直接訪問此類絕密信息,也不是360就可以做的。”獨(dú)立調(diào)查員進(jìn)一步分析說,“更為嚴(yán)重的問題在于,金融、證券方面的信息,在互聯(lián)網(wǎng)上是與國家安全、軍事等同等重要的禁區(qū),屬于高壓線的范疇,互聯(lián)網(wǎng)安全企業(yè)理應(yīng)自覺回避,但360竟然毫不避嫌全面收集、形同監(jiān)視,我無法理解其真實(shí)動(dòng)機(jī)。這才是此事件最為嚴(yán)重的焦點(diǎn)?!?/p>
一個(gè)不容忽視的細(xì)節(jié)是:360服務(wù)器如今還有沒有這些用戶隱私?這些被360非法獲取的用戶機(jī)密數(shù)據(jù)是否曾被濫用,至今這依然是個(gè)待解的黑匣子之謎。
您需要 [注冊(cè)] 或 [登陸] 后才能發(fā)表點(diǎn)評(píng)