12月31日消息,金山网络CEO傅盛今天向媒体宣布,称掌握了360公司记录用户隐私信息的确凿证据,包括记录上网行为、存留账号密码等,目前已向公安机关报案。
18:47 360回应:金山网络“将360上传恶意网址的正常功能歪曲成收集用户隐私”
19:08 360官方回应全文:所谓“收集隐私”只是正常功能,金山自己也有
19:17 360发布的“金山网盾上传用户网址访问记录”
19:30 金山补发新闻稿,向媒体发了一份包含有部分网上文件内容的文档,名为“中国最大隐私泄露事件说明”。我们隐去文档中所有带用户名和密码的信息后发布此“说明”文本:
20:05 金山网络严正声明:用户隐私大过天
身在珠海的金山网络CEO傅盛通过视频会议系统向媒体说明了情况:近期金山接到大量用户举报,称在Google上搜索到自己的用户名与密码。经追查,金山发现这些隐私信息来源于360一台服务器(Upload.360safe.com)上的一个文本文件。该台服务器中详细记录了大量360用户的全网访问过程,包括浏览的网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂钩。在这个服务器中,每个用户对应一个字符串,通过查询这个字符串,可以了解这个用户的所有个人信息、上网浏览记录、账号密码等。
在金山工程师李铁军的演示中,除了个人用户,一些企业用户的隐私信息也同样被360服务器记录。比如:某公司的2011年财政预算、培训计划、员工工资系统等。
傅盛推测,这台服务器可能只是360公司数千台服务器中的一台,因为临时上架,数据库文件暂时还没有配置好,才会露出马脚。傅盛介绍,此前通过代理使用谷歌快照可搜索到部分个人账户信息,一些黑客和程序爱好者已经窃取并利用了这些用户数据,这可能造成极大的安全隐患。
金山表示,已经向公安机关报案,向上级主管部门汇报情况,并对这些隐私信息做了公证。
当金山网盾为用户拦截恶意网页时,会自动将网址访问记录上传到金山服务器。如下图:
从图中可以明确看到,金山网盾在拦截恶意网址后会向其日志服务器上传数据,金山日志服务器地址为:api.pc120.com
金山网盾上传的数据如下:
经过base64转码,可以看到金山网盾上传了用户的网址访问记录,与用户浏览器地址栏的网址完全吻合。如下图:
中国最大隐私泄露事件说明(以下仅作为媒体参考资料,其中的敏感信息,尤其是用户名、密码,请媒体务必不要泄露!)
今天上午,金山安全中心接获用户举报:在google网站上可以搜索到大量中国互联网用户使用互联网的隐私记录,甚至包括用户登陆网站或邮箱的用户名、密码等。金山安全中心发现在google上搜索“site:upload.360safe.com”关键字,保存有大量涉及用户隐私内容的信息。
经过验证后,金山安全中心发现惊人事实:360在通过其客户端秘密收集用户信息,由于这台服务器的配置问题,导致360不慎将记录了大量用户信息的日志文件被google收录索引,造成大规模外泄。
这些文件内容包括:
一、收集用户名和密码信息
1. sina用户名和密码【略】
2. chinahr用户名和密码【略】
3. yaowan用户名和密码【略】
二、全天候监视用户,记录用户所有上网过程
1、先登陆9223网站,后去百度搜索,再去chinaedu网站,并且登陆【略】
2、用户先去了wanmei,再去了onetad,之后又去了yaowan【略】
三、记录用户搜索词
信息分为两列,第一列是用户机器加密串,360用它来区分不同用户的,第二列是搜索url。【略】
四、记录公司内网关键信息【略】
【涉及到的互联网公司名录】
根据360外泄的日志文件可以看到,几乎涉及到了所有的互联网主流应用服务。【略】
金山网络严正声明:用户隐私大过天
借曾经被同行大肆宣扬的一句话:用户隐私大过天。
身为一家互联网安全企业,金山网络一直以捍卫网民上网安全为己任,金山网络也深知自己的使命在于为每一位网民打造安全、可信赖的上网环境;正直,也是金山网络这家公司自成立之初起就奠定的价值观之一。
在接到网民反馈搜索到自己的用户名和密码问题后,金山网络工程师立即展开了调查,惊人的发现这些用户名和密码来自于另一家同行的官方网站服务器上,而更为震惊的是,在这台服务器上不仅记录的是这位网民的用户名与密码,更发现了成千上万网民的用户名密码、访问网址、搜索记录等等个人隐私,同时这些信息还能锁定到每一个具体网民。
这些隐私信息有来自湖北学生的、有来自四川政府机构的、甚至还有一家负责国家战略级项目国有企业的。
而更加令人感到紧急的是,这家企业官方服务器明文存储的这些用户名密码、用户上网记录已经被美国搜索引擎谷歌完全抓取,并可以在互联网上轻易检索下载到。
这起安全软件搜集用户隐私并泄露的事件,是中国互联网史上最为严重的隐私搜集及泄密事件。作为中国最专业的互联网安全企业,金山网络无论是出于企业使命、还是个人良心,都有义务向每一位网民发出警示,并向有关部门报案使这一事件能够得到最为快速、有效的彻底解决,金山网络每一位员工都迫切希望网民个人隐私所遭受的侵犯能够立刻停止,快一点,再快一点。
我们无意于与同行进行所谓口水大战,也无意去要求某家企业与我们一样有着同样的企业价值观与个人道德。我们始终坚信,错的就是错的,不是某家企业擅于狡辩是非、泼墨抹黑就能改变客观事实的。我们也始终坚信,多行不义必自毙,这家企业在暗箱里进行的每一个不可告人的勾当,终将曝露在阳光之下。
我们呼吁所有媒体、同行,乃至每一位网民都为捍卫个人隐私尽一份力量,向身边的朋友告知这一事件,从根本上断绝这家企业对用户个人隐私的粗暴侵犯。勿以善小而不为。
我们呼吁谷歌公司尽快删除已经抓取的网民隐私信息,并提请谷歌公司做好可能被称为“作伪证”而被告的准备。
为了所有网民的个人信息安全,为了2011年中国网民真正拥有安全、可信赖的上网环境,金山网络欢迎起诉,并将积极应诉!