6月5日下午,乌云漏洞报告平台发布微博称:“发现微博疯传搜狗输入法泄密事件,网友们已经挖出了大量敏感&成人内容!其实该漏洞乌云很久之前就接到了白帽子的报告,并且及时通知了厂商,但问题至今未得到有效的处理。搜狗输入法可导致大量用户敏感信息泄露。”被披露的漏洞出自搜狗手机输入法中的“多媒体输入”功能,借助这一功能,用户能与他人分享图片、语音、文字等信息。具体实现方式是:将要分享的信息上传到搜狗服务器中,形成一个可以点击查看的链接。
今天上午,风口浪尖中的搜狗对泄密事件进行了正式回应,“搜狗手机输入法”官方微博发表声明称:搜狗为相关服务设置了robots.txt协议统一禁止搜索引擎抓取和收录,也与相关搜索引擎厂商沟通,取消了对分享数据的收录,设置了更严格的访问限制。搜狗在这份官方声明中,对乌云漏洞报告平台所披露的搜狗漏洞只字未提。此前,搜狗官方在接受新浪科技采访时表示,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关robots.txt协议有关,重点问题出在Bing搜索引擎中。而Bing也于第一时间发表声明予以否认:“此次搜狗旗下网站上的疑似隐私及不雅内容,在各大搜索引擎上均可以搜到。截至2013年6月6日12:30分,仍然能通过一些搜索引擎搜索到。必应搜索并未违反Robots.txt协议。”
那么,此次泄密事件究竟是谁的责任?51CTO记者就此对相关各方进行了调查和采访。一个月前,名为“镇长”的漏洞提交者向乌云漏洞报告平台提交了一个关于搜狗输入法的高危害等级漏洞,会导致用户敏感信息泄露。乌云漏洞报告平台相关负责人向记者表示,泄密事件发生后,搜狗已经把导致泄密的“多媒体输入”功能屏蔽,但搜狗对于自己早已承认的这个漏洞,至今仍未修复。在乌云漏洞报告平台上,从漏洞被发现到修复,历经一个多月时间还未修复的情况并不多见,一般情况下,漏洞被发现后一个星期内即可修复。乌云漏洞平台认为,这次泄密事件是搜狗功能设计的问题所致。
乌云漏洞报告平台是一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台,厂商在乌云注册时需要确认能够代表企业身份对安全问题及时处理和响应。记者在该平台上的厂商列表上,看到了搜狗的名字。
乌云漏洞报告平台上披露的搜狗输入法漏洞
乌云漏洞报告平台还公开了搜狗输入法漏洞披露的详细状态
#p#
针对乌云漏洞报告平台所披露的漏洞,搜狗方面怎么看?记者就此致电搜狗,搜狗相关负责人表示,搜狗发布的官方声明即为对此事的官方回复(搜狗产品没有漏洞,也不会泄露用户隐私)。而对记者所关心的乌云漏洞报告平台所披露的那个漏洞,搜狗方面避而不谈。
就此问题,记者对安全界有关专家进行了采访。得到的普遍回答是:搜狗泄密事件,本质上还是输入法服务商没有对用户采取有效的安全防护措施所致,与搜索引擎并无太大关系。一位数据安全专家表示,退一步说,就算搜索引擎不遵守搜索协定,作为服务商也不能将信息安全简单地寄望于第三方遵守规则的基础上。如果照这样假设,世界上就不会有黑客和犯罪分子存在,也就没有信息安全产业存在的必要。
通过输入法泄露隐私,这在技术上是如何实现的?乌云漏洞报告平台公开信息显示,搜狗输入法信息在发送过程存储了相对应的信息在云端,但由于相应配置及其他原因造成了会话信息(图片、视频、音频)泄露,由于不严谨造成信息被搜索引擎抓取。数据安全厂商北京明朝万达科技有限公司董事长王志海告诉记者,从数据保护的角度说,数据在存入云端之前是应该被加密的。类似搜狗这次的泄密,从技术上讲比较简单,如果采用明文方式将数据存储在云中,在公开网站上就可能会很容易被搜索到。另外,即便被加密的数据被破解了,如果做好了访问控制,也能对访问数据的人员进行控制,不该看到数据的人也看不到。对于互联网服务提供商而言,要保护用户隐私,技术上并不难实现,身份验证、后台状态的维持,这些都是比较成熟的通用技术。出现此类泄密事件,根源是对互联网服务提供商对用户隐私并不重视。
这次泄露事件也凸显出云应用中普遍存在的安全问题。王志海坦言,今天,安全问题仍然是云服务的一大障碍。类似搜狗输入法这样的泄密事件其实不是第一次发生,很多云服务商对用户的隐私保护意识并不强,也不具备太深入的安全技术。他们将数据存储在云端时依然是用明文口令的方式,而普通用户对云服务商是否采取隐私保护措施也无从知晓。
很多时候,个人用户自身的安全意识也并不太强,互联网服务提供商是否具有足够的隐私保护措施似乎并不那么重要,但一旦个人的不安全行为习惯延伸到企业,结果就不同了。赛门铁克最近与PonemonInstitute联合发表的数据泄露研究报告表明,大部分数据泄露是由雇员对机密数据的误操作和系统错误所引发。
如何解决云服务的安全问题?王志海认为,首先是要建立健全相关法律法规,倒逼相关服务商增强对用户的隐私保护意识以达到合规要求;其次是云服务商需要对安全有更多了解,建立安全团队或引入第三方安全团队;另外,相关问题还应该得到足够的重视,如:在云服务中的应用正变得越来越普及,存在云中的企业商业机密也会越来越多,云服务一旦被黑客攻破,被泄露的就不只是用户密码这么简单了。