浏览器泄密 被爆殃及校园网用户

　　近日，许多互联网用户打开电脑后，都会被360或搜狗旗下软件的自动弹窗所吸引，双方针对用户个人信息泄密的漏洞展开了激烈论战，两家业界巨头新一轮的浏览器大战拉开序幕。舆论声势浩大，称搜狗浏览器出现了重大的安全事故，导致大量用户网银、支付账户以及企事业内部系统账户信息泄露，不仅给广大网民的个人隐私带来危害，给财产安全造成威胁，同时也给政府、高校、公用事业部门以及电子支付、电子商务等重要信息系统埋下了重大的安全隐患;而搜狗方面坚决否认浏览器存在漏洞，纯属竞争对手炒作。

　　浏览器被爆泄密始末

　　早在10月中旬，一些安全论坛上，陆续有用户反馈搜狗浏览器出现异常的信息。11月5日，某安全公司接到用户反馈，称在使用个人QQ账户登录搜狗浏览器时，可以查看到大量其他用户的账号和密码，使用这些账号和密码可以直接登录到这些账户。在这些论坛上，有用户发布了关于该事故的详情，特别是如何获取其他用户账号和密码的详细操作步骤。当天下午，著名漏洞报告平台WooYun(乌云)发布了搜狗浏览器存在漏洞的消息。一段在网上流传的视频显示，在一台只有基本应用程序的电脑中，下载安装搜狗浏览器，点击搜狗浏览器的账号登录系统，使用QQ账号和密码进行注册和登陆，双击退出该系统。然后，在工具栏里点击“智能填表”，再选择管理表单数据，网页上就会弹出一个表单。继续点击，就会出现大量不同用户的个人账号密码等信息。视频显示，使用这些账号和密码能够进入到这些用户的淘宝、邮箱、QQ等系统中。

　　360技术人员分析，导致泄密的原因，是搜狗浏览器具有的自动填表功能，这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器的时候，搜狗会把收集的用户账号和密码从服务器回传到浏览器上，以方便用户使用。然而，由于搜狗的软件在同步方面存在设计缺陷，用户退出后，会触发该设计错误，导致服务器将大量其他用户的账号和密码回传到浏览器上，除了账号和密码外，还包括其他用户的收藏夹信息、历史记录等。

　　校园网用户遭泄密

　　11月7日，有微博网友爆料，此次搜狗浏览器所泄露的远不止账号密码这么简单，学校、企业的后台管理页面同样面临着危险。据爆料者称，江西某大学的教务管理系统后台已被搜狗浏览器泄露，账号密码已被默认填好，外来访问者可轻易登陆。据称，在今年早些时候，就有论坛网友称使用搜狗浏览器可以直接访问到网站后台管理页面，但并未引起人们的关注。而此次搜狗浏览器隐私泄露事件，让该事件再一次出现在公众面前。由于后台管理系统的特殊性，很多人习惯于将账号密码默认保存，这就造成了高校的教务处网站后台等可被人随意查阅。

　　高校后台管理系统的重要性尽人皆知，对此一些业内人士也对此发表了看法，北京航空航天大学软件学院孙伟院长表示，标准浏览器例如微软IE浏览器是不能访问用户机器磁盘内容，搜狗浏览器是不是也是秉承标准IE浏览器的规则，不访问用户机器磁盘内容和内存等级内容，这个问题只有搜狗浏览器的开发团队才能回答。任何猜测都是没有意义的，目前相关的报道和截屏都无法帮助专业人士做出判断。数据泄密可能是多重原因，包括管理者登录账号，并勾选让浏览器记住密码，这也给了第三者利用超级用户账号进入系统的可能性。总之，根据简单报道的表象是无法证明搜狗浏览器是否泄漏用户数据。

　　对此，搜狗浏览器相关技术人员表示，无论是“用户机器磁盘内容”还是“内存等级内容”，都是指未经授权就不能访问的隐私数据。搜狗作为主流浏览器，只会访问系统目录下的各种公共Dll库，而不会去访问除搜狗自己数据目录之外的其他数据目录。当用户启用“智能填表”功能后，搜狗浏览器只有在用户同意的情况下，才会将用户名与密码加密存储在搜狗浏览器自己的数据目录下。其同步通信采用的也是双钥加密机制，整个过程中并不存在泄露的可能。

　　做好保护 勤更换密码

　　在360和搜狗的公关论战中，双方各执一词，让人难辨是非。互联网业内人士提醒广大网民，目前，并没有绝对安全的浏览器软件，不管这次信息泄密事件是否成立，上网时都要养成良好的习惯。

　　数据安全对于普通用户和教育用户来说都是大事，无论使用公共电脑还是个人电脑，在关闭浏览器前都要将没用的浏览历史或痕迹删除。登录账号勾选浏览器记住密码是否存在原罪，暂不讨论，但是这种做法确实有泄密可能。所以，对于曾经使用过自动填表功能的用户，技术人员建议，第一时间修改所有登录或保存过的账号密码，包括但不限于电子邮箱、社交媒体、电商、电子支付平台、手机应用账户、政府信息管理系统、公用事业信息平台、电信服务、高校内部管理信息系统、企业内部管理系统等。今后，尽量不要在登录时选择让电脑记住用户名和密码，以防信息泄露。

　　同时我们呼吁，对于提供互联网软件服务的公司，应谨慎收集用户的隐私数据，特别是账号密码等，并应提供高级别的安全加密措施，保证用户个人信息不被解密，以及不同用户之间数据的隔离。此外，互联网软件应采用高水准的软件设计架构，来保证个人信息不会因为软件低级缺陷而被泄漏。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。