搜狗被曝涉嫌泄露用户隐私 专家建议应及时更换密码

信息早报 赵小冰

　　日前发生的“搜狗11.5泄密门”一事，不仅搅动了互联网江湖，而且再次将网络隐私的安全摆在了公众面前。

　　事件最初缘起在安全网站卡饭论坛里，有网友发现，在将搜狗浏览器4.2版后，使用QQ账号登录搜狗浏览器，退出后搜狗浏览器自动同步了其他用户的自动填表信息和收藏夹等内容，包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息。

　　次日，360通过官方微博发布“搜狗重大安全漏洞”，称接到用户反馈，通过验证确认“这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。”360对外宣称已紧急通知国家互联网应急中心和搜狗公司，并请搜狗浏览器用户务必修改所有账户密码，在搜狗修复漏洞之前暂停使用。

　　随后，搜狗通过微博发布了致用户书。搜狗表示，在昨天发现网帖后立即组织技术团队进行了查证，确认网上所传的现象并不存在。同时，搜狗称一直重视隐私的保护，并暗示此次事件是竞争对手发起的不正当竞争。

　　紧接着，漏洞报告平台发布报告，确认了该漏洞的存在。乌云报告确认“搜狗浏览器存在重大安全漏洞，可以直接登陆数千账户”，称该漏洞类型为“网络敏感信息泄露”，危害等级为“高”，乌云称已将漏洞报告给了搜狗。乌云是与CNCERT/CC(国家计算机网络应急技术处理协调中心)、国家信息安全漏洞共享中心等国家权威机构深度合作的专业漏洞报告平台。

　　无论是确有漏洞存在还是被竞争对手抹黑，长城重点安全实验室主任陈亮告诉记者，他们安排人员进行了测试，并未发现密码泄露的情况，说明该漏洞已被修复；但同时发现，在用搜狗浏览器登录时进行账户切换，查看历史记录会发现一些自己并没有访问过的网站。

　　对于造成个人信息泄漏的原因，陈亮认为有两种可能性存在，一是搜狗浏览器可能并未对浏览器的“智能填表”功能进行严格的安全测试，技术人士对新产品进行测试时，意外接通了搜狗的后台管理系统，进而无条件下载到了其他用户的浏览信息；二是搜狗浏览器的数据库出现了错误。陈亮称，这个问题并非最近才存在，之前搜狗浏览器曾存在记录账号和密码并暗中上传的情况。

　　知名安全厂商瀚海源CEO方兴则称，这次的安全漏洞问题可能出在搜狗浏览器的云同步上，第一，无法确认搜狗浏览器的云同步是否得到用户授权；第二，能够同步到其他用户的信息，可能内部管理问题。

　　陈亮认为，大部分用户缺乏安全意识，所有网站都使用一套密码，而搜狗的智能填表功能可很方便地进行登录，但存在安全隐患。因此，在日常使用时千万不要“一套密码走天下”，密码长度要大于6位，且要有特殊字符。同时尽量不对密码和用户名进行保存；在使用浏览器时不建议安装插件。

　　有专家建议，如用户曾经使用搜狗浏览器登陆过，为谨慎起见须修改全部密码为佳，尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。