搜狗泄了雅虎邮箱底
出处:www.jfdaily.com 作者:www.jfdaily.com 时间:2008-3-2 23:14:38
当网络通信、交易日渐成为人们日常生活不可分割的一部分时,网络信息安全问题也日益凸显。也许你从未想到,有一天,别人只需在搜狗搜素里键入一个链接的关键词,你的密码保护系统就可能土崩瓦解,邮箱将毫不设防地暴露在陌生人面前。2月25日下午,一位网友发现通过搜狗搜索,可以轻易搜到大量雅虎邮箱用户的隐私资料。
“搜狗真强大,雅虎真安全”
这是一位网友的调侃之词,却成了对整件事件最精辟的概括。2月25日下午4时左右,一位网友曝料称他在使用搜狗搜索引擎时,无意中发现其雅虎邮箱的个人注册信息可在搜狗的搜索结果中找到。很快,人们发现在搜狗搜索中,只需要以“site:member.cn.yahoo.com”为关键词,就能搜出大量的注册信息,共计1358个相关网页。根据页面截图显示,可以从中获得YahooID、雅虎邮箱、出生日期、密保问题和答案这样一些绝对隐私的关键信息。如果再得知用户所在地邮编,则即可以轻松盗取该邮箱。
而在雅虎泄密的同时,众多网友继而发现中国联通“掌中宽带”个人门户网站也“中了标”。通过搜索“site:211.90.118.15”,人们可以轻易查到诸多用户的手机号码、选择套餐类型、账户余额等等关键性信息,甚至可以获得“最致命”的密保内容。
25日下午4时58分左右,搜狗进行了处理,原有搜索方式失效。但很快有人发现,“site:https://member.cn.yahoo.com”仍然有效,虽然不再能点击进入,从搜索预览中却仍能获得大量雅虎账户的密保信息。而在笔者的实时测试中,这一漏洞至少直到26日下午才得被修复。
而这一切,只能在搜狗搜索中实现。笔者反复测试其他几家搜索引擎产品,均未发现类似现象。同时,大量网友的测试也证实了这一点。
问题何在?
搜狗、雅虎各执一词
大量个人信息外泄,不得不引发了诸多电子邮箱、网上支付使用者的密切关注。这不比以往搜索引擎从静态的博客、交友网站上抓到了你的密码。这一次,搜狗搜索是在用户必须在相应网站输入账号、密码,才能进入的加密状态下的动态页面上泄出了秘密。
问题究竟出在谁身上?在笔者的采访中,雅虎、搜狐各执一词,均称自身技术、安全手段并非出错。
在接受笔者采访时,雅虎公关部负责人王彤表示,雅虎邮箱本身的安全并没有问题,雅虎的ID是全球通用的,相关安全设置也是统一的,在其他国家地区也从未出现过这样的情况。此次的信息泄露是在去年之前的注册环节中发生的,我们在25日下午确认问题存在后,立刻就采取了相关措施。并随即与搜狐方面进行了沟通,解决了这一问题。
对于这一问题出现的原因,王彤表示,很可能是由于部分雅虎用户电脑上安装了搜狗输入法和搜狗工具条。目前这两种软件被怀疑在用户登陆账号时,于其不知情的情况下将动态加密页面的内容发至了搜狗搜索的服务器。“搜狗搜索本身根本没有能力能搜到这些敏感信息,根源应该在于输入法和工具条。我们25日下午发现问题后第一时间和搜狗方面进行了沟通,他们也封闭了相关搜索链接。”
笔者采访的几位资深网络安全人士也对此说法表示了一定程度上的认同。而来自搜狐的回答则对此表示了坚决的否认。在搜狐官方发来的解释中写道:“这次的事件跟搜狗工具条和搜狗输入法完全没关系,搜狗工具条因为有Sogou Rank的显示(也可配置关闭),所以会把用户访问的url请求服务器(原理和实现同Google工具条),但并没有传递用户的任何相关信息回服务器。因为雅虎的这批数据最后更新时间是2007年,所以我们已经没有办法给出是从哪个互联网资源解析出的链接了。至于很多技术人员提出的https无法通过分析的方式获得,说法是不科学的。比如在搜狗和谷歌上都能查到https://www.etrade.com这个使用https协议的网站。”同时,搜狐方面还呼吁此次事件中泄露用户信息的网站加强自身安全保障措施。
保护隐私养成谨慎上网习惯
双方孰是孰非,一时争论或许不能对广大网民带来更多帮助。而最近频频引发的网络隐私信息泄密事件,则又一次给我们提了一醒。
其实,在雅虎与“掌中宽带”之外,支付宝也泄露了部分资料。由于支付宝已于去年12月启用了第二代安全接口,故而没有泄露账号安全信息。但是在此之前的大量网上交易下单记录页面可以轻易被发现。笔者甚至在搜索结果中查到多则涉及高度个人隐私的商品购买记录,自然是当事人所极不愿泄露的信息。
某国内杀毒软件厂商的安全工程师在接受采访时表示,很多情况下,网络用户由于相关知识的缺失而在浏览器插件的使用选择上过于轻率。对于自己不熟悉的浏览器插件,应谨慎安装、使用;同时,不要将银行密码等重要信息存放在电子邮箱特别是免费的电子邮箱中;电子邮箱密码也切忌与银行卡密码或者网上支付卡密码雷同。
而另外一位业内人士则指出,在对网络软件、服务提供免费使用的同时,网络服务商也应对基于流量和用户数据采集的网络商业模式不断自我规范、反思,这将是本次事件可能给人们带来的最大的启示。