360上傳證券期貨用戶名密碼 證券機構驚慌自衛

不論是不是黑360，從我的體驗來講，建議不用360！

原文：

http://weiquan.anquan.baidu.com/?qq-pf-to=pcqq.group

http://tech.qq.com/a/20130704/000920.htm?g_

[導讀]這款軟件到底是安全軟件仍是間諜軟件？是爲了用戶仍是爲了監視用戶？

每經記者 秦俑、吳數、黃衫發自北京、深圳、上海

3月27日，《每日經濟新聞》記者致電中國一家證券公司（出於相關考慮，如下簡稱A公司），告知該公司證券期貨客戶帳號信息被外泄，不肯定外泄帳號的數量及其影響。

這是一個使人驚駭的問題，A公司新聞發言人立即堅稱，公司證券期貨系統是國內最爲規範而嚴格的系統，絕無可能被侵入。但記者告訴上述新聞發言人，《每日經濟新聞》手中握有A公司客戶使用360軟件致使其在中國期貨保證金監控中心繫統絕密信息外泄的視頻證據。

該新聞發言人聽聞此事，並根據《每日經濟新聞》提供的視頻證據信息進行內部覈查，最終證明了該視頻信息的準確性。很快，該消息經過A公司傳到該公司旗下的期貨大客戶——被泄露帳戶密碼等私密信息的受害客戶華平平（化名）那裏，其當場表示：使人震驚。

突如其來的泄密：期貨大戶隱私信息「裸奔」

事情起源於今年3月初，《每日經濟新聞》記者接到爆料，一位自稱陳明（化名）的網友稱其手中有一個絕密視頻，內容是其經過360服務器外泄數據而意外「進入」中國期貨保證金監控中心繫統，進而得到用戶期貨交易等相關隱私信息。

陳明告訴記者，2月26日，其從網上閱讀了《每日經濟新聞》獨家報道的《360黑匣子之謎——奇虎360「癌」性基因大揭祕》，對其中揭露的360涉嫌存在竊取用戶隱私，併爲了商業利益經過在「360安全衛士」「360安全瀏覽器」中植入「後門」與360雲端配合，粗暴侵犯網民隱私權、知情權，破壞行業規則和秩序的問題「感到震驚」，並表示贊同。

事實上，陳明只是衆多爆料人中的一位。自《每日經濟新聞》刊發上述報道以後，大量用戶、受害者、技術愛好者均經過各類渠道，向本報提供了各種360涉嫌「做惡」的證據。

陳明表示，過去幾年，360因爲涉嫌上傳用戶隱私而遭受的指責衆多。而目前其掌握的這一份視頻證據，意味着360服務器涉嫌每時每刻都在上傳大量用戶的隱私數據，其中甚至包括極爲敏感的金融證券系統的帳戶和密碼！

爲了證明陳明手中視頻內容的真實性，《每日經濟新聞》三地記者聯動，經過各類渠道採訪，並最終找到了A公司的期貨大戶華平平。

當A公司證明了視頻內容的真實性後，立刻意識到了事情的嚴重性，該公司新聞負責人坦言：他們也不理解這類機密信息會被360服務器收集的背後緣由。

A公司一位內部人士透露，針對上述事件，A公司三地高層臨時召開電話會議，試圖應對這一次泄露事件可能致使的重大品牌危機，同時公司IT部門也在調查此事，並研究應對方案。

至此，360涉嫌竊取國內安全級別極高的證券金融行業用戶隱私的證據，終於曝光於世。這也意味着，經過360服務器的數據，任何人均可以潛入中國安全等級極高的一些證券系統後臺，「替」大客戶進行大額資金操做，甚至是資金轉移。最爲恐怖的是，整個過程神不知鬼不覺，這些證券大戶們根本不知道，本身原來是在「裸奔」。

隱私信息「被現場直播」：三段視頻浮出水面

陳明最初是經過網絡方式向《每日經濟新聞》記者提供了其經過360服務器外泄數據而意外「進入」中國期貨保證金監控中心繫統，獲取用戶重要信息的相關證據。

根據陳明自述，此證據是其在2010年12月31日獲取的，一共分爲三個部分。

第一部分和第二部分（這兩部分已合併爲「視頻1」，可直接掃描「二維碼1」觀看；或訂閱每日經濟新聞官方微信號2202419768，回覆「視頻1」觀看）顯示，經過在線瀏覽360服務器upload.360safe.com，能夠清晰地看到大量網民在2010年12月的上網瀏覽記錄，包括在淘寶的瀏覽記錄、訂單操做過程，訪問好友QQ空間，經過百度搜索哪些電影、下載什麼播放軟件等皆可被現場直播……

事實上，上述兩段視頻在2010年曾經一度熱傳過，但現在已被刪得所剩無幾。

最爲關鍵的第三段視頻 （掃描「二維碼2」觀看「視頻2」；或訂閱每日經濟新聞官方微信號2202419768，回覆「視頻2」觀看）則是首次曝光，視頻顯示，從360泄露的用戶瀏覽日誌文件中複製出某金融機構的網址及其訪問請求參數，經過瀏覽器進入目標網頁，即可得到證券期貨市場大客戶的絕密信息。

以已經被證明真實身份的華平平爲例，經過視頻能夠清晰看到他的真實姓名、期貨公司名稱、帳號、資金量、下單交易記錄等，每一次詳細操做的記錄、出入金明細、成交匯總、持倉彙總以及客戶期貨結算的帳戶等敏感信息被暴露無疑。

與陳明同樣下載過360泄密信息的一位安全工做人員殷某也曾經有過這樣意外的發現。2010年12月31日，其發佈微博稱，「我在#360#的幫助下完成了2010年的最後一次***檢測或者說Hacking，利用#360#收集的用戶行爲日誌中找到了#攜程#某代理商的身份認證信息，成功進入該代理商的攜程管理後臺。不過俺沒幹壞事。你說這事兒我得通知誰呢？」

在《每日經濟新聞》記者得到的360服務器外泄的數據中，還有其餘幾位受害人的機器碼、所屬期貨公司ID等信息，這也意味着只要經過360服務器記錄的這些外泄數據，任何人均可以輕易地侵入這些客戶的資金帳戶，得到用戶敏感信息。

這些翔實的視頻證據，意味着360不只涉嫌上傳用戶網址，並且存在刻意收集用戶帳戶和密碼的嫌疑。若是不是陳明將上述視頻曝光，以及《每日經濟新聞》記者的聯繫求證，這些帶有用戶隱私數據的重要信息或許一直會神不知鬼不覺地保存在360服務器，而被***的A公司和華平平等用戶本人至今或許還矇在鼓裏。

在稿件操做過程當中，基於私人信息保密的須要，華平平婉拒了《每日經濟新聞》記者的採訪請求。

360隔空取物?藉助系列產品窺「孤島」

在長期關注信息安全漏洞相關問題的烏雲漏洞報告平臺上，曾有專業人士披露過不少關於搜索引擎和雲相關的安全問題報告。烏雲漏洞報告平臺負責人認爲，期貨、股票的操做信息與帳號等隱私信息是互聯網上最機密的部分，在任何狀況下，被第三方抓取或得到的可能性都幾乎能夠忽略不計，但爲何某些特殊搜索引擎如360卻能夠得到呢？

該負責人指出，金融無疑是全球安全級別最高的行業之一，該體系徹底是一個閉環，它們就像徹底意義上的密封「孤島」，外人通常只能在外圍「轉悠」，很難進入到系統內部，也就是說，傳統的搜索引擎從外部根本沒法抓取到這些 「孤島」的信息，除非藉助用戶須要使用的某些強大客戶端如瀏覽器，搜索引擎才能夠直接抓取用戶終端上的訪問記錄和數據。

對於360可以蹊蹺得到這些機密信息的緣由，微博名人、程序員「獨立調查員」解釋說，無論證券行業安全級別有多高，體系是多麼繁瑣可靠，只要用戶上網的入口產品是360系列，或者安裝了360的網絡安全產品，這些「孤島」或者隱私信息，都存在被上傳到360服務器的可能性。

獨立調查員否認了這是經過360後門機制來截取的可能性。他分析說，360安全衛士攔截並上傳用戶瀏覽行爲的技術手段，與網絡工程師經常使用的網絡抓包分析工具相似。不一樣的是，360安全衛士只須要實時攔截並分析HTTP協議數據包，從中提取用戶訪問的目標網址，其攔截過程與結果對用戶來講都不可見，這並不是360安全衛士的後門，而是其固有功能，但此功能對用戶而言是個黑匣子，這個黑匣子對用戶隱私安全造成理論上的可能威脅。

獨立調查員感慨道，對於360上傳這些商業機密數據的狀況，目前外界還知之甚少。不過能夠想象的是，一旦360服務器被***攻克，或者這些數據被360泄露或濫用，對中國網絡和經濟安全多是災難性的。

據陳明回憶說，上述隱私素材均爲當年從upload.360safe.com網站下載所取。

2010年12月30日6時38分，百度貼吧上一位名爲「愛wu痕」網友發佈了一條信息：看看這裏面360都蒐集了什麼啊？這條信息後面附上了一個360存儲收集用戶信息的下載地址。

「上述公開連接被谷歌(微博)搜索爬蟲抓取後，進入谷歌網頁庫，被網友搜索到，大公開。」陳明表示，他也在第一時間按照上述連接網址下載了相關的數據。

此後，更多的專業人士加入了下載、分析的行列，甚至他們在安全論壇「kafan」討論此事。很快，360員工發現了服務器信息泄露的事實，隨後在當天10時30分左右關閉了upload.360safe.com/url_files/目錄瀏覽權限，12時30分左右移除了此文件目錄。

360服務器記錄的內容，爲什麼會被谷歌抓取泄露？這多是衆多人看到這些被泄露在外的信息時的最大疑問。

「當時，360在第一時間對外表示，其服務器外泄用戶隱私的真相，是360一臺服務器遭******，致使少許數據外泄，被谷歌搜索引擎抓取。」但在陳明看來，「這次360服務器用戶隱私的數據泄密更有可能的緣由是目錄權限沒配置好，而不是遭遇******。******獲取到用戶隱私數據後應該是直接使用以謀利，怎麼會經過貼吧論壇的方式無償對外公開呢？」

據《每日經濟新聞》記者瞭解，根據搜索引擎爬蟲（一種自動獲取網頁內容的程序）原理，那些未被公開網址的目錄或文件，網絡訪問者（包括網民和搜索引擎爬蟲）是沒法瀏覽或抓取的，而一旦網址被公開，搜索引擎爬蟲再次光臨該網站時，就能順藤摸瓜地抓取到那些目錄或文件。

這正是360服務器隱私數據連接被張貼在百度貼吧後很快被谷歌搜索引擎爬蟲抓取、並被網民搜索到的緣由，不然那些隱私數據即便出現權限控制問題，也是一個信息「孤島」，爬蟲照樣觸不可及。

獨立調查員進一步指出，360已經創建了一套「孤島」信息收集機制，其抓取的部分信息會直接在360搜索引擎上展示，而更多更隱私的內容或許會永遠躺在360服務器中，直到被挖掘利用、或被泄露。

一個能夠借鑑的真實故事是：去年9月，百度工程師針對360搜索展開的「鬼節捉鬼」實驗已經證實：只要使用360瀏覽器訪問「孤島」頁面，360服務器很快就能抓取這些頁面內容，並徹底在360搜索中展示出來。

隨後一個月，百度某高管在一次面向全國100家媒體開放日的非正式會議上，現場演示了一個360搜索引擎抓取手機用戶支付結果頁面的截圖。這些頁面與支付寶付款結果頁面相似，上面也有用戶姓名、手機號等敏感信息。根據360搜索頁面結果（見圖片1），「http://buy.360.cn/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh」這麼複雜的連接，爬蟲是如何發現的？它的出處在哪裏？爲什麼搜索結果的數量有39萬之多？爲何直接點擊沒法訪問？360此舉動引起了相關政府部門的介入。

（出於人身安全考慮，本稿件署名均爲化名）

觀點

360被指侵門踏戶 逾越安全邊界

此前360方面曾公開對外表示，安全軟件上傳網址監測是行業慣例，帶有用戶名和密碼的網址記錄是由網站登陸機制形成的，並不是安全軟件有意上傳。

而獨立調查員認爲，這是360爲本身侵犯用戶隱私的行爲所找的藉口。在他看來，所謂雲安全只是輔助機制，安全軟件應儘量排除可信的主流網站 （全部網銀、政府網站，以及主流門戶、新聞門戶、社交門戶、搜索門戶等），而不是收集並上傳全部網址；且在上傳網址時，應排除網址中的訪問請求參數等我的信息（網址中問號後接的所有子串）。另外，360即使要上傳網址，也沒有必要將其長期保留在其私有服務器內。安全廠商在驗證其上傳的網址、確認是安全網址後，即應在作必要統計後廢棄，更沒理由與用戶機器惟一識別碼成對地存儲在服務器上。不然，這款軟件到底是安全軟件仍是間諜軟件？是爲了用戶仍是爲了監視用戶？他認爲有充分理由對這些問題打一個很大的問號。

「360明知大量訪問請求參數屬於用戶，而不屬於訪問目標網站。任何安全軟件必須假設並接受‘用戶本人無惡意’，這是對用戶最起碼的尊重，除非其目的是監控用戶而非監控網站。雲安全軟件能夠在明確告知並取得用戶贊成的前提下，上傳瀏覽網址的非用戶參數部分，以分析和阻止可能的惡意網址，且不得記錄用戶機器識別信息。這是最基本的隱私保護原則，而360安全衛士徹底不符合此原則要求，罔顧用戶隱私權以及由此衍生的財產權等我的權益。」

「至於用戶所訪問網站的技術實現方式、安全等級等，與360公司有什麼關係呢？退一步講，即便目標網站容許直接訪問此類絕密信息，也不是360就能夠作的。」獨立調查員進一步分析說，「更爲嚴重的問題在於，金融、證券方面的信息，在互聯網上是與國家安全、軍事等同等重要的禁區，屬於高壓線的範疇，互聯網安全企業理應自覺迴避，但360居然絕不避嫌全面收集、形同監視，我沒法理解其真實動機。這纔是此事件最爲嚴重的焦點。」

一個不容忽視的細節是：360服務器現在還有沒有這些用戶隱私？這些被360非法獲取的用戶機密數據是否曾被濫用，至今這依然是個待解的黑匣子之謎。