IC图
由于安全软件存在于系统的最底层,因此,从技术上说,它想要收集什么信息就能收集到什么信息,关键取决于企业对于用户隐私的态度。这些公司在获取大量的信息之后,可以做很多数据分析、改进产品、发展新业务等,如果内控不严,就会造成信息泄露
由方舟子质疑奇虎360窃取用户隐私而引发的“方周大战”在持续。近日,工信部明确表示,对360通过其浏览器窃取用户的信息和隐私问题,“如果查实确有违法违规行为,我部将依法予以严肃处理。”
对于工信部的调查,奇虎360很自信,它在给记者发来的声明中表示欢迎。不过,来自同行们的举证对其似乎很不利。工信部表态后,金山、网秦、卡巴斯基等其他安全厂商纷纷表态,坚决支持工信部对360的调查,以彻底肃清安全软件行业中某些企业一直以来隐藏的隐私安全问题。其中,金山还出面提供360侵犯用户隐私的切实证据。在第三方分析机构易观国际举办的“安全沙龙”上,金山毒霸安全工程师、反病毒专家李铁军发布了360超范围收集政府、机构、个人隐私信息的确凿证据,并全程展示了360安全卫士操纵用户电脑,窃取用户隐私的全程视频。
昨日,互联网威慑防御(IDF)实验室创始人、安全专家万涛在接受《国际金融报》记者采访时表示,目前,作为独立第三方,IDF实验室正在对金山提供的证据以及结合360给出的回应进行验证核实,预计报告会在近几日得出。
万涛认为,此事的关键是由其引发的公众对于安全软件的信任危机。不过,从另一个方面讲,工信部的出面调查某款软件侵犯用户隐私在国内尚属首次,如能借此机会明确国内安全行业底线与规则,对促进行业自律和网民隐私保护都是利好。
金山举证360
据李铁军介绍,2010年底,有网友曾发现,在Google上可以搜索到大量中国网民使用互联网的隐私记录,信息包括个人浏览记录、账号密码、联系方式以及企业内网信息,据查证,这些数据来源恰是360公司。
记者看到,这些信息十分详实。比如,在淘宝购物的罗小姐的信息是:她于2010年12月16日19∶01下单购买了一件韩版时尚外套,价格69元,联系地址为上海市金山区某地,这一信息记录中甚至包括罗小姐的电话、网络订单号等详细信息。此外,一些用户的QQ账号、密码、政府机关、企业内网信息及经营数据也被360收集和泄密。
据金山公司的统计发现,此次泄露数据总条数141万条,其中涉及用户名信息的条目有247326个,包含用户名又包含密码的条目816个,邮件记录数21444个,QQ空间记录数229080个,淘宝信息90747个,内网记录数2474个,文档记录数7576个。
“相对于360收集的海量数据来说,目前Google抓取揭露的信息仅是冰山一角。”李铁军在会上表示。
值得注意的是,此前网名为“独立调查员”的网友曾举证了360定期收集用户隐私数据并上传到360服务器的行为。而在此次会议上,李铁军首次通过视频,复现了360安全卫士(7.3版),偷传用户使用电脑等私密操作行为到自有服务器,窃取用户隐私的全过程。
现场显示,电脑在已经关闭360“云安全计划”(云计划具有信息上传功能)并断网的条件下,360安全卫士仍会自动记录用户对电脑的操作信息。例如,测试人员在电脑中打开记事本、玩纸牌等操作行为,均被360安全卫士记录下来,而在该软件目录中,还可以找到记录了程序名称、运行时间及程序详细信息的文档。联网后,360安全卫士迅速将该文档信息上传到360服务器。随后,360立即删除在信息收集过程中产生的文件夹,使用户完全不会发觉360的这一行为