360上传证券期货用户名密码(3)

来源：每日经济新闻　作者：佚名　责任编辑：admin　发表时间:2013-07-05 10:02　

360 证券期货密码用户名上传管理机构中国移动中国联通中国电信 3G 3D技术 LTE FTTx IPTV 网络视频软件移动互联网农村互联网电子商务其他

核心提示：360隔空取物?借助系列产品窥孤岛在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上，曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为，期货、股票的操作信息与账号等隐

360隔空取物?借助系列产品窥“孤岛”

在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上，曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为，期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分，在任何情况下，被第三方抓取或获得的可能性都几乎可以忽略不计，但为什么某些特殊搜索引擎如360却可以获得呢？

该负责人指出，金融无疑是全球安全级别最高的行业之一，该体系完全是一个闭环，它们就像完全意义上的密封“孤岛”，外人一般只能在外围“转悠”，很难进入到系统内部，也就是说，传统的搜索引擎从外部根本无法抓取到这些 “孤岛”的信息，除非借助用户需要使用的某些强大客户端如浏览器，搜索引擎才可以直接抓取用户终端上的访问记录和数据。

对于360能够蹊跷获得这些机密信息的原因，微博名人、程序员“独立调查员”解释说，不管证券行业安全级别有多高，体系是多么繁琐可靠，只要用户上网的入口产品是360系列，或者安装了360的网络安全产品，这些“孤岛”或者隐私信息，都存在被上传到360服务器的可能性。

独立调查员否定了这是通过360后门机制来截取的可能性。他分析说，360安全卫士拦截并上传用户浏览行为的技术手段，与网络工程师常用的网络抓包分析工具类似。不同的是，360安全卫士只需要实时拦截并分析HTTP协议数据包，从中提取用户访问的目标网址，其拦截过程与结果对用户来说都不可见，这并非360安全卫士的后门，而是其固有功能，但此功能对用户而言是个黑匣子，这个黑匣子对用户隐私安全形成理论上的可能威胁。

独立调查员感慨道，对于360上传这些商业机密数据的情况，目前外界还知之甚少。不过可以想象的是，一旦360服务器被黑客攻克，或者这些数据被360泄露或滥用，对中国网络和经济安全可能是灾难性的。

据陈明回忆说，上述隐私素材均为当年从upload.360safe.com网站下载所取。

2010年12月30日6时38分，百度贴吧上一位名为“爱wu痕”网友发布了一条信息：看看这里面360都搜集了什么啊？这条信息后面附上了一个360存储收集用户信息的下载地址。

“上述公开链接被谷歌搜索爬虫抓取后，进入谷歌网页库，被网友搜索到，大公开。”陈明表示，他也在第一时间按照上述链接网址下载了相关的数据。

此后，更多的专业人士加入了下载、分析的行列，甚至他们在安全论坛“kafan”讨论此事。很快，360员工发现了服务器信息泄露的事实，随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限，12时30分左右移除了此文件目录。

360服务器记录的内容，为何会被谷歌抓取泄露？这可能是众多人看到这些被泄露在外的信息时的最大疑问。

“当时，360在第一时间对外表示，其服务器外泄用户隐私的真相，是360一台服务器遭黑客攻击，导致少量数据外泄，被谷歌搜索引擎抓取。”但在陈明看来，“此次360服务器用户隐私的数据泄密更有可能的原因是目录权限没配置好，而不是遭遇黑客攻击。黑客攻击获取到用户隐私数据后应该是直接使用以谋利，怎么会通过贴吧论坛的方式无偿对外公开呢？”

据《每日经济新闻》记者了解，根据搜索引擎爬虫（一种自动获取网页内容的程序）原理，那些未被公开网址的目录或文件，网络访问者（包括网民和搜索引擎爬虫）是无法浏览或抓取的，而一旦网址被公开，搜索引擎爬虫再次光临该网站时，就能顺藤摸瓜地抓取到那些目录或文件。

这正是360服务器隐私数据链接被张贴在百度贴吧后很快被谷歌搜索引擎爬虫抓取、并被网民搜索到的原因，否则那些隐私数据即使出现权限控制问题，也是一个信息“孤岛”，爬虫照样触不可及。

独立调查员进一步指出，360已经建立了一套“孤岛”信息收集机制，其抓取的部分信息会直接在360搜索引擎上展现，而更多更隐私的内容或许会永远躺在360服务器中，直到被挖掘利用、或被泄露。

一个可以借鉴的真实故事是：去年9月，百度工程师针对360搜索展开的“鬼节捉鬼”实验已经证明：只要使用360浏览器访问“孤岛”页面，360服务器很快就能抓取这些页面内容，并完全在360搜索中展现出来。

随后一个月，百度某高管在一次面向全国100家媒体开放日的非正式会议上，现场演示了一个360搜索引擎抓取手机用户支付结果页面的截图。这些页面与支付宝付款结果页面类似，上面也有用户姓名、手机号等敏感信息。根据360搜索页面结果（见图片1），“http://buy.360.cn/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”这么复杂的链接，爬虫是如何发现的？它的出处在哪里？为何搜索结果的数量有39万之多？为什么直接点击无法访问？360此举动引发了相关政府部门的介入。

（出于人身安全考虑，本稿件署名均为化名）(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。