360金山旗下网站PC120泄露用户隐私万芳

发布时间：2020-02-14 12:21:37 阅读：次来源：皂液器厂家

360：金山旗下网站PC120泄露用户隐私-CSDN.NET

摘要：据介绍，金山公布的所谓“360窃取用户隐私”的证据，其实是360网盾上传的可疑恶意网址。安全软件在发现用户浏览器受到恶意代码攻击时，会将可疑恶意网址上传到服务器进行自动分析，然

2011年1月3日，360公司公布了大量证据，证明金山散布的 360窃取用户隐私纯属谣言。360技术副总裁谭晓生表示：360采用的是和金山一样的恶意网址上传机制，金山明知道360不可能侵犯用户隐私，却还要发布虚假新闻，故意制造恐慌，是典型的揣着明白装糊涂。

12月31日下班前，金山突然召开发布会，对我们搞突然袭击。正好元旦三天放假，就先让金山的子弹飞一会儿。谭晓生笑称：只有等到子弹真正命中的时候，大家才会发现，最后倒下的是谁。

360提供了大量经过公证的材料，材料显示，通过百度、谷歌、搜狗、必应、搜搜等各大搜索引擎，可以搜索到大量金山从用户电脑上传的网址记录，其中不乏用户名和密码。让人震惊的是，金山公然把这些来自用户访问记录的网址数据制作成网页并公开展示。通过金山官方的pc120.com网站，任何人都可以公开查询到这些网址，包括其中包含的用户名和密码。

现在子弹已经命中了，大家看到是：这颗子弹瞄准的是360，倒下的却是金山自己。谭晓生谈到：与金山不同的是，我们并不因此就幸灾乐祸，借机攻击金山窃取用户隐私，而是要借此告诉网民事实真相：客观地说，这是由个别网站的技术缺陷引发的巧合事件，包括金山在内，任何安全厂商都没必要、也不可能去窃取用户隐私。

据介绍，金山公布的所谓 360窃取用户隐私的证据，其实是360网盾上传的可疑恶意网址。安全软件在发现用户浏览器受到恶意代码攻击时，会将可疑恶意网址上传到服务器进行自动分析，然后把鉴定出来的挂马网址加入恶意网址库，这是安全行业通用的做法，除了金山和360外，诺顿、趋势等也都有类似的机制。

安全软件在上传时，如果用户同时打开了多个网页，在技术上是无法定位具体是哪个网页包含恶意代码的，只能将当前打开的所有网址一并上传，其中就有可能会包含一些企业内网和大网站的网址。另外，通过这次事件我们发现，个别网站的安全机制存在缺陷，会在用户登录时直接将用户名和密码编写在网址链接 (URL)中，因此也会被安全软件一并上传到服务器上。谭晓生介绍说：据我们统计，包含用户名密码的网址占网址总数的比例不足百万分之一，实际影响到的用户人数极少，但是360还是根据这次发现的问题，对云查询机制进行了修改和完善，设法在上传时识别和去掉其中的用户名和密码。与金山不同的是，360的恶意网址库只保存在内部服务器上，不会像金山那样对外公开这些网址。

作为安全厂商，在发现技术漏洞后，负责任的作法是承认自己的不足，并尽快采取措施堵住漏洞，切实保障用户利益，而不是公开散布网民隐私，捏造谣言制造恐慌，以此来打击竞争对手。谭晓生表示： 360发现金山的问题后，马上通报给了金山公司，敦促他们尽快解决，而不是像对方那样故意歪曲，大肆炒作。据我们观察，目前金山已堵住了部分漏洞，在各大搜索引擎上也正在紧急清理。

针对360方面的指责，金山也在第一时间予以了回应。

金山网络工程师解释称，部分网友可能在对技术不了解的情况下，提交了包含个人隐私的资料。

PC120网站一方面依靠类似搜索引擎的爬虫不断抓取网址验证，还会依靠网友自主提交可疑网址进行验证完善恶意网址库。

据金山网络工程师介绍，其主要功能之一网址安全可供用户自主提交可疑网址进行查杀验证，并且会把用户自主提交的可疑网址在查杀后进行存档建立恶意网址库。此外，PC120还建立了搜索引擎一样的爬虫程序，在互联网上搜集公开网址进行查杀验证。

对于今天稍早些时候有网贴爆料称金山PC120网站流出大量用户隐私，其中包括用户名和密码，而这些用户名和密码已被各大搜索引擎抓取。对此，金山网络工程师解释称，部分网友可能在对技术不了解的情况下，提交了包含个人隐私的资料，针对这一情况金山网络已经做出了处理，并完善提交验证机制。

声明：CSDN登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。