“窃取”实无罪 “泄露”有责任
岁末年初之际,互联网业内再爆口水战,金山称“360泄露用户隐私”,360公司反指“金山搜集用户隐私”。此事虽因工信部的介入,暂时偃旗息鼓,但当事双方究竟谁对谁错仍然成谜。为此,互联网安全专家朱易(化名)专门研究了双方的证据,他认为360和金山被曝光的“搜集用户隐私行为”属于基本合理范畴,双方的软件用户可以继续放心使用,反而双方互相的攻击和指责却略显牵强,甚至有蓄意之嫌。
第一回合:金山“攻击”360
2010年12月31日,金山率先出招,称360的服务器upload.360safe.com泄露了用户的隐私,用户的用户名密码可通过Google等搜索引擎搜到,号召用户卸载360。对此,2011年1月2日,360回应,这些记录被Google抓取,是因为360存储网址云安全查询日志的一台内部服务器遭到了攻击,使得原本无法被搜索引擎抓取的日志数据被Google的蜘蛛抓取到了少量数据。
朱易认为,360确实会将用户上过的所有网页都记录下来,不过这么做的初衷并没有错,这些信息被用来鉴别用户所登录网站的安全性,比如网站是否挂马等等,这并不算恶意收集。可是,这些信息竟然可以被谷歌搜索引擎找到,360在用户隐私信息的传输和保护上有不可推卸的责任。
朱易亲自操作,确实在谷歌上找到了大量用户隐私信息,比如大量移动BOSS(业务运营支撑)系统密码等等,例如网站管理员从数据库下载一些BAK、RAR文件供工作之用,这些信息都会被360采集下来。
虽然鉴别网站安全性的用意没有错,但收集如此大量的用户信息是否过火,朱易表示仍有待商榷。另外,360还有义务确保这部分信息的绝对安全,而造成大量隐私泄露,后果很严重。
第二回合:360“反击”金山
1月4日360“反击”,其向媒体表示,已掌握大量经过公证的证据,显示通过百度等各大搜索引擎,可以搜索到大量金山从用户电脑上传的网址记录,其中不乏用户名和密码等隐私信息。
金山对此温和回应,pc120网站涉及的网址信息,都来源于用户主动提交和互联网上的公开网址。
朱易表示,360对PC120即金山安全中心问题曝光多少有些牵强。
首先,金山泄露的隐私信息数量远远不及几天前360的情况。其次,金山安全中心的功能是鉴定网友和用户主动上传的网址链接是否安全,从而建立一个恶意网址库,而用户提出的网址链接中难免会有一些明码用户密码之类的信息,这部分信息可能一起被保存了下来。从这点来看,金山的做法并没有什么问题,且不具备普遍性。