“有可能是一次罕见的互联网安全事故”

　　连日来，“搜狗浏览器泄密事件”持续发酵。

　　11月7日下午，360公司召开媒体发布会，宣称搜狗浏览器出现了重大的安全事故，导致大量用户网银、支付账户以及企事业内部系统账户信息泄露。与此同时，360公布了搜狗收集用户隐私信息并泄露的相关资料证据，称此次由于泄密而导致的重大安全事故有可能是一次罕见的互联网安全事故。

　　360公司副总裁曲晓东介绍说，11月5日，360公司接到用户反馈，称在使用个人QQ账户登录搜狗浏览器时可以查看到大量其他用户的账号和密码，使用这些账号和密码可以直接登录到这些账户。360公司立即组织技术人员对这一重大安全事故开展验证，经验证，相关信息属实。

　　曲晓东称，搜狗泄密是一次罕见的互联网安全事故，被泄露的用户账号信息主要包括三类：登录账号和密码、收藏夹数据和上网历史记录；遭到泄露的用户账户类型主要有电子邮箱、社交媒体、电商、电子支付、手机应用账户、电信运营商、政府、高校和企业内部管理系统等。此次能够获取到泄露数据的版本是搜狗浏览器4.2版本，但其他版本的搜狗浏览器登录账户和密码，都可能被泄露到使用搜狗浏览器4.2版本的用户电脑中。由于搜狗浏览器的自动填表功能是默认开启的，而且搜狗浏览器4.2版本已经作为正式版在推广，因此此次安全事件影响面非常广。搜狗浏览器拥有几千万用户，泄露的账号密码分类非常广泛，并且泄露时间持续至少1周以上。目前，没有其他产品出现过这种大规模的用户信息泄露问题，这是互联网浏览器历史上罕见的安全事故。

　　记者致电工信部、国家互联网应急中心相关领导，他们均表示已关注此事，正在调查。

　　“泄密原因有可能是因为设计缺陷”

　　在发布会现场，360向媒体播放了一段视频。该视频显示，在一台只有基本应用程序的电脑中，下载安装搜狗浏览器，点击搜狗浏览器的账号登录系统，使用QQ账号和密码进行注册和登录，双击退出该系统；然后，在工具栏里点击“智能填表”，再选择管理表单数据，网页上就会弹出一个表单；继续点击，就会出现大量不同用户的个人账号、密码等信息。视频显示，使用这些账号和密码能够进入这些用户的淘宝、邮箱、QQ。

　　360技术人员在现场分析说，导致泄密的原因，是搜狗浏览器具有的自动填表功能，这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候，搜狗会把收集的用户账号和密码从服务器回传到浏览器上，以方便用户使用。“然而，由于搜狗的软件在同步方面存在设计缺陷，用户退出后，会触发该设计错误，导致服务器将大量其他用户的账号和密码回传到浏览器上，除了账号和密码外，还包括其他用户的收藏夹信息、历史记录等。”该技术人员说。

　　11月5日下午，漏洞报告平台WooYun（乌云）已经发布了搜狗浏览器存在漏洞的消息。中央电视台《24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目详细报道了记者验证该漏洞信息的全过程。360建议用户及企事业单位应尽快更换密码。360称，对于曾经使用过搜狗浏览器自动填表功能的用户，目前必须要做的就是修改所有登录或保存过的账号密码，包括电子邮箱、社交媒体、电商网站、电子支付平台、手机应用账户、政府信息管理系统、公用事业信息平台、电信服务、高校内部管理信息系统、企业内部管理系统等。而对于提供互联网软件服务的公司，应谨慎收集用户的隐私数据，特别是账号密码等，并应提供高级别的安全加密措施，保证用户个人信息不被解密，以及不同用户之间数据的隔离。

　　搜狗回应称360抹黑

　　对于360的行动，记者看到，搜狗公司于11月5日在网上公开发表声明称，从11月5日开始，360公司经过精心策划和导演，先后操纵论坛ID、微博水军及传媒，并动用360导航、弹窗等手段，对搜狗浏览器再次进行了抹黑。

　　搜狗坚称搜狗浏览器安全可靠，并无所谓漏洞，请广大用户放心使用。针对360向媒体播放的证据视频，搜狗公司称，360的视频不能为它的抹黑说法提供任何证明，只要通过账号同步功能，在A电脑上用某个QQ账号登录浏览器后，同时在B电脑浏览器上登录同一个QQ账号，即可导入表单数据，再同步到A电脑上，这是账号同步机制正常的功能特性。

　　7日上午，搜狗通过输入法弹窗再次向用户发布公告，以“360 安全卫士抹黑搜狗炮制史上最恶劣造谣事件”为题，点名指责360安全卫士并列举了六大罪状：“360花钱买枪手被曝光”、“声明论坛账号系被盗用发帖”、“360论坛视频证据涉嫌作假”、“动用大批水军”、“大量网友已验证并不能重现360所谓漏洞”、“第一时间忙着攻击对手而非遵循安全规范”。

　　业内人士表示，搜狗这一举动无疑助推了此次事件的发酵。也有网友表示，这是搜狗对360全面“开战”的标志。