搜狗 長點兒心吧

近日，搜狗很煩惱。11月5日，上午8時左右，微博上有大量用戶反饋搜狗瀏覽器異常，在使用個人QQ賬戶登錄搜狗瀏覽器時，可以查看到大量其他用戶的賬號和密碼，并可以直接登錄到這些賬戶中。當天下午，著名漏洞報告平臺WooYun（烏云）發(fā)布了搜狗瀏覽器存在漏洞的消息。

隨后，360和搜狗之間的彈窗喊話就開始了。一個提醒用戶修改密碼，一個指責對方惡意抹黑。但是，對于用戶來說，關心的不是口水戰(zhàn)，而是自己的隱私安全。

據(jù)360爆料，早在10月18日，搜狗用戶論壇上就有人反映：“為什么別人賬戶的表單數(shù)據(jù)進入到我的瀏覽器里？”該用戶稱，已經(jīng)是第二次出現(xiàn)這種情況了。這些數(shù)據(jù)包括郵箱、QQ空間、百度等網(wǎng)站的賬號密碼，而且都能登錄。“不知道我的信息是不是也被別人同步走了。”

那時，這個帖子并未引起足夠關注。直到11月5日“東窗事發(fā)”，360立即組織技術人員對這起“重大安全事故”開展驗證。技術人員在一臺只有基本應用程序的電腦中，下載安裝搜狗瀏覽器，使用QQ賬號登錄搜狗瀏覽器后，雙擊退出該系統(tǒng)。然后，在工具欄里點擊“智能填表”，再選擇管理表單數(shù)據(jù)，網(wǎng)頁上就會彈出一個表單。繼續(xù)點擊，就會出現(xiàn)大量不同用戶的個人賬戶密碼等信息。這些信息已經(jīng)超過100M，而一套用戶名和密碼通常只有幾字節(jié)。

據(jù)相關技術專家介紹，導致泄密的原因，是搜狗瀏覽器的自動填表功能，會把用戶的賬號和密碼上傳到搜狗服務器。當用戶再次使用搜狗瀏覽器時，用戶賬號和密碼會被從服務器回傳到瀏覽器上，以方便用戶使用。然而，由于搜狗的軟件在同步方面存在設計缺陷，用戶退出后，服務器會將大量其他用戶的賬號和密碼回傳到瀏覽器，除了賬號和密碼外，還包括其他用戶的收藏夾信息、歷史記錄等。

“智能填表的初衷是方便用戶在不同的電腦上登錄自己的賬戶并同步數(shù)據(jù)，但數(shù)據(jù)同步服務器一旦發(fā)生泄密，損失將不可估量。”360公司副總裁曲曉東說。

今年9月1日，工業(yè)和信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》明確要求，“電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者保管的用戶個人信息發(fā)生或者可能發(fā)生泄露、毀損、丟失的，應當立即采取補救措施；造成或者可能造成嚴重后果的，應當立即向準予其許可或者備案的電信管理機構報告，配合相關部門進行調(diào)查處理。”對于提供互聯(lián)網(wǎng)軟件服務的公司來說，所收集的用戶隱私數(shù)據(jù)，特別是賬號密碼等，理應提供高級別的安全加密措施。

雖然《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》要求，電信管理機構應對違反本規(guī)定的行為的影響進行評估并處罰，但沒有更加詳細的規(guī)定，也沒有對此類公眾信息安全突發(fā)事件有進一步的定義和管理措施，更沒有對涉及個人信息的互聯(lián)網(wǎng)軟件設計架構，制定相關標準。

電子商務、互聯(lián)網(wǎng)金融已經(jīng)深深融入到人們的生活和工作中，對個人網(wǎng)絡信息隱私的關注，應該從商業(yè)競爭和企業(yè)之間的亂仗，轉移到社會治安和公共安全的范疇中。既然不能置之度外，企業(yè)，麻煩“長點兒心吧”！