360上传证券期货用户名和密码引恐慌

互联网 | 编辑: 周黎俊 2013-07-06 06:30:00转载 一键看全文

隐私信息“被现场直播”

隐私信息“被现场直播”:三段视频浮出水面

陈明最初是通过网络方式向《每日经济新闻》记者提供了其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,获取用户重要信息的相关证据。

通过在线浏览360服务器upload.360safe.com,可以清晰地看到大量网民在2010年12月的上网浏览记录,包括在淘宝的浏览记录、订单操作过程,访问好友QQ空间,通过百度搜索哪些电影、下载什么播放软件等皆可被现场直播……

事实上,上述两段视频在2010年曾经一度热传过,但如今已被删得所剩无几。

视频显示,从360泄露的用户浏览日志文件中复制出某金融机构的网址及其访问请求参数,通过浏览器进入目标网页,便可获得证券期货市场大客户的绝密信息。

以已经被证实真实身份的华平平为例,通过视频可以清晰看到他的真实姓名、期货公司名称、账号、资金量、下单交易记录等,每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息被暴露无疑。

与陈明一样下载过360泄密信息的一位安全工作人员殷某也曾经有过这样意外的发现。2010年12月31日,其发布微博称,“我在#360#的帮助下完成了2010年的最后一次入侵检测或者说Hacking,利用#360#收集的用户行为日志中找到了#携程#某代理商的身份认证信息,成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢?”

在《每日经济新闻》记者获得的360服务器外泄的数据中,还有其他几位受害人的机器码、所属期货公司ID等信息,这也意味着只要通过360服务器记录的这些外泄数据,任何人都可以轻易地侵入这些客户的资金账户,获得用户敏感信息。

这些翔实的视频证据,意味着360不仅涉嫌上传用户网址,而且存在刻意收集用户账户和密码的嫌疑。如果不是陈明将上述视频曝光,以及《每日经济新闻》记者的联系求证,这些带有用户隐私数据的重要信息或许一直会神不知鬼不觉地保存在360服务器,而被入侵的A公司和华平平等用户本人至今或许还蒙在鼓里。

在稿件操作过程中,基于私人信息保密的需要,华平平婉拒了《每日经济新闻》记者的采访请求。

360隔空取物?借助系列产品窥“孤岛”

在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上,曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为,期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分,在任何情况下,被第三方抓取或获得的可能性都几乎可以忽略不计,但为什么某些特殊搜索引擎如360却可以获得呢?

该负责人指出,金融无疑是全球安全级别最高的行业之一,该体系完全是一个闭环,它们就像完全意义上的密封“孤岛”,外人一般只能在外围“转悠”,很难进入到系统内部,也就是说,传统的搜索引擎从外部根本无法抓取到这些 “孤岛”的信息,除非借助用户需要使用的某些强大客户端如浏览器,搜索引擎才可以直接抓取用户终端上的访问记录和数据。

对于360能够蹊跷获得这些机密信息的原因,微博名人、程序员“独立调查员”解释说,不管证券行业安全级别有多高,体系是多么繁琐可靠,只要用户上网的入口产品是360系列,或者安装了360的网络安全产品,这些“孤岛”或者隐私信息,都存在被上传到360服务器的可能性。

独立调查员否定了这是通过360后门机制来截取的可能性。他分析说,360安全卫士拦截并上传用户浏览行为的技术手段,与网络工程师常用的网络抓包分析工具类似。不同的是,360安全卫士只需要实时拦截并分析HTTP协议数据包,从中提取用户访问的目标网址,其拦截过程与结果对用户来说都不可见,这并非360安全卫士的后门,而是其固有功能,但此功能对用户而言是个黑匣子,这个黑匣子对用户隐私安全形成理论上的可能威胁。

独立调查员感慨道,对于360上传这些商业机密数据的情况,目前外界还知之甚少。不过可以想象的是,一旦360服务器被黑客攻克,或者这些数据被360泄露或滥用,对中国网络和经济安全可能是灾难性的。

据陈明回忆说,上述隐私素材均为当年从upload.360safe.com网站下载所取。

2010年12月30日6时38分,百度贴吧上一位名为“爱wu痕”网友发布了一条信息:看看这里面360都搜集了什么啊?这条信息后面附上了一个360存储收集用户信息的下载地址。

“上述公开链接被谷歌搜索爬虫抓取后,进入谷歌网页库,被网友搜索到,大公开。”陈明表示,他也在第一时间按照上述链接网址下载了相关的数据。

此后,更多的专业人士加入了下载、分析的行列,甚至他们在安全论坛“kafan”讨论此事。很快,360员工发现了服务器信息泄露的事实,随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限,12时30分左右移除了此文件目录。

提示:试试键盘 “← →” 可以实现快速翻页 

一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑