11月5日,新华社、中央电视台等多家媒体报道,搜狗浏览器被曝存在严重安全漏洞,使得用户账号、密码等个人信息被泄露。用户在使用QQ账户登录搜狗浏览器后,浏览器会自动下载上千个其他用户的用户名和密码信息,这些信息包含了用户的淘宝、微博、网易和QQ邮箱等账户。11月5日下午,搜狗浏览器发布公告,否认出现安全漏洞。目前,所曝的搜狗浏览器泄密问题已经被解决。
在央视报道中,记者亲自验证了搜狗浏览器存在安全漏洞的整个过程:选择一台只有基本应用程序的电脑,下载安装搜狗浏览器,点击其账号登录系统,使用QQ账号和密码进行注册与登录,随后退出该系统,然后在工具栏里点击智能填表,再选择管理表单数据,网页上就会弹出附有淘宝、QQ邮箱、住房公积金、12306火车订票系统等字样的表单。继续点击,就会出现其他用户的真实账号和密码信息。登录这些账户和密码,可以直接进入其他人的支付宝进行转账购物,或者直接进行支付交易。
消息一经发布即引发业界哗然,许多网民也在微博上反映该问题,还上传了电脑截图显示。11月5日,搜狗发表官方声明称,在微博上发现有账号称“搜狗浏览器存重大安全漏洞,大量用户隐私被泄露”。对此,搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象。并呼吁,不要以绑架用户的名义、欺骗和恐吓用户的手段屡次发起不正当竞争。
针对搜狗浏览器出现的上述安全漏洞,有观点认为,问题可能出在搜狗浏览器的云同步上。第一,无法确认云同步是否得到了用户授权;第二,能够同步到其他用户的信息,可能是管理人员失误造成。还有观点指出,这是搜狗浏览器将大量用户账户和密码及收藏夹同步到了他人电脑所致,搜狗浏览器用户务必修改所有账户密码,在搜狗修复漏洞之前暂停使用。
工信部电信研究院总工程师余晓晖指出,面对大规模网络安全事件,需要有第三方权威的检测机构出面厘清真相,可以通过技术手段及时监督、公布、反馈互联网安全漏洞,确认披露相关细节。
北京邮电大学教授阚凯力认为,随着网络的发展,如银行卡、账号、登录密码等核心个人信息越来越多存储在电脑与网络上,若有丢失则属于严重安全问题,不容忽视。
阚凯力认为,要断定搜狗浏览器是否存在用户隐私信息泄露的情况仍需要进一步调查。他认为,若建立相关机制,相关部门可以要求涉事企业对涉及网络公共安全的问题进行说明,并要求企业直面后果。
记者电话采访招行、建行、工行等多家银行,相关银行客服部门回复称,目前已经把相关情况反馈给有关部门。记者致电国家互联网应急中心,工作人员称对此事件暂不回应,并建议“关注我们网站的通知”。工信部相关人士表示,将继续关注此事件的发展。同时,将积极应对和有效处置各类网络安全威胁,严厉打击泄露用户个人信息的行为。
据了解,目前由于控件限制,浏览器尚无法记录网银的登录密码,不过淘宝账号和密码在没有启用安全控件登录的情况下可被记录,并被同步到云端。