每经记者 秦俑、吴数、黄衫发自北京、深圳、上海
3月27日,《每日经济新闻》记者致电中国一家证券公司(出于相关考虑,以下简称A公司),告知该公司证券期货客户账号信息被外泄,不确定外泄账号的数量及其影响。
这是一个令人惊骇的问题,A公司新闻发言人当即坚称,公司证券期货系统是国内最为规范而严格的系统,绝无可能被侵入。但记者告诉上述新闻发言人,《每日经济新闻》手中握有A公司客户使用360软件导致其在中国期货保证金监控中心系统绝密信息外泄的视频证据。
该新闻发言人听闻此事,并根据《每日经济新闻》提供的视频证据信息进行内部核查,最终证实了该视频信息的准确性。很快,该消息通过A公司传到该公司旗下的期货大客户——被泄露账户密码等私密信息的受害客户华平平(化名)那里,其当场表示:令人震惊。
突如其来的泄密:期货大户隐私信息“裸奔”
事情起源于今年3月初,《每日经济新闻》记者接到爆料,一位自称陈明(化名)的网友称其手中有一个绝密视频,内容是其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,进而获得用户期货交易等相关隐私信息。
陈明告诉记者,2月26日,其从网上阅读了《每日经济新闻》独家报道的《360黑匣子之谜——奇虎360“癌”性基因大揭秘》,对其中揭露的360涉嫌存在窃取用户隐私,并为了商业利益通过在“360安全卫士”“360安全浏览器”中植入“后门”与360云端配合,粗暴侵犯网民隐私权、知情权,破坏行业规则和秩序的问题“感到震惊”,并表示赞同。
事实上,陈明只是众多爆料人中的一位。自《每日经济新闻》刊发上述报道之后,大量用户、受害者、技术爱好者均通过各种渠道,向本报提供了各类360涉嫌“作恶”的证据。
陈明表示,过去几年,360由于涉嫌上传用户隐私而遭受的指责众多。而目前其掌握的这一份视频证据,意味着360服务器涉嫌每时每刻都在上传大量用户的隐私数据,其中甚至包括极为敏感的金融证券系统的账户和密码!
为了证实陈明手中视频内容的真实性,《每日经济新闻》三地记者联动,通过各种渠道采访,并最终找到了A公司的期货大户华平平。
当A公司证实了视频内容的真实性后,马上意识到了事情的严重性,该公司新闻负责人坦言:他们也不理解这类机密信息会被360服务器收集的背后原因。
A公司一位内部人士透露,针对上述事件,A公司三地高层临时召开电话会议,试图应对这一次泄露事件可能导致的重大品牌危机,同时公司IT部门也在调查此事,并研究应对方案。
至此,360涉嫌窃取国内安全级别极高的证券金融行业用户隐私的证据,终于曝光于世。这也意味着,通过360服务器的数据,任何人都可以潜入中国安全等级极高的一些证券系统后台,“替”大客户进行大额资金操作,甚至是资金转移。最为恐怖的是,整个过程神不知鬼不觉,这些证券大户们根本不知道,自己原来是在“裸奔”。
隐私信息“被现场直播”:三段视频浮出水面
陈明最初是通过网络方式向《每日经济新闻》记者提供了其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,获取用户重要信息的相关证据。
根据陈明自述,此证据是其在2010年12月31日获取的,一共分为三个部分。
第一部分和第二部分(这两部分已合并为“视频1”,可直接扫描“二维码1”观看;或订阅每日经济新闻官方微信号2202419768,回复“视频1”观看)显示,通过在线浏览360服务器upload.360safe.com,可以清晰地看到大量网民在2010年12月的上网浏览记录,包括在淘宝的浏览记录、订单操作过程,访问好友QQ空间,通过百度搜索哪些电影、下载什么播放软件等皆可被现场直播……
事实上,上述两段视频在2010年曾经一度热传过,但如今已被删得所剩无几。
最为关键的第三段视频 (扫描“二维码2”观看“视频2”;或订阅每日经济新闻官方微信号2202419768,回复“视频2”观看)则是首次曝光,视频显示,从360泄露的用户浏览日志文件中复制出某金融机构的网址及其访问请求参数,通过浏览器进入目标网页,便可获得证券期货市场大客户的绝密信息。
以已经被证实真实身份的华平平为例,通过视频可以清晰看到他的真实姓名、期货公司名称、账号、资金量、下单交易记录等,每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息被暴露无疑。
与陈明一样下载过360泄密信息的一位安全工作人员殷某也曾经有过这样意外的发现。2010年12月31日,其发布微博称,“我在#360#的帮助下完成了2010年的最后一次入侵检测或者说Hacking,利用#360#收集的用户行为日志中找到了#携程#某代理商的身份认证信息,成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢?”
在《每日经济新闻》记者获得的360服务器外泄的数据中,还有其他几位受害人的机器码、所属期货公司ID等信息,这也意味着只要通过360服务器记录的这些外泄数据,任何人都可以轻易地侵入这些客户的资金账户,获得用户敏感信息。
这些翔实的视频证据,意味着360不仅涉嫌上传用户网址,而且存在刻意收集用户账户和密码的嫌疑。如果不是陈明将上述视频曝光,以及《每日经济新闻》记者的联系求证,这些带有用户隐私数据的重要信息或许一直会神不知鬼不觉地保存在360服务器,而被入侵的A公司和华平平等用户本人至今或许还蒙在鼓里。
在稿件操作过程中,基于私人信息保密的需要,华平平婉拒了《每日经济新闻》记者的采访请求。
360隔空取物?借助系列产品窥“孤岛”
在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上,曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为,期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分,在任何情况下,被第三方抓取或获得的可能性都几乎可以忽略不计,但为什么某些特殊搜索引擎如360却可以获得呢?
该负责人指出,金融无疑是全球安全级别最高的行业之一,该体系完全是一个闭环,它们就像完全意义上的密封“孤岛”,外人一般只能在外围“转悠”,很难进入到系统内部,也就是说,传统的搜索引擎从外部根本无法抓取到这些 “孤岛”的信息,除非借助用户需要使用的某些强大客户端如浏览器,搜索引擎才可以直接抓取用户终端上的访问记录和数据。
对于360能够蹊跷获得这些机密信息的原因,微博名人、程序员“独立调查员”解释说,不管证券行业安全级别有多高,体系是多么繁琐可靠,只要用户上网的入口产品是360系列,或者安装了360的网络安全产品,这些“孤岛”或者隐私信息,都存在被上传到360服务器的可能性。
独立调查员否定了这是通过360后门机制来截取的可能性。他分析说,360安全卫士拦截并上传用户浏览行为的技术手段,与网络工程师常用的网络抓包分析工具类似。不同的是,360安全卫士只需要实时拦截并分析HTTP协议数据包,从中提取用户访问的目标网址,其拦截过程与结果对用户来说都不可见,这并非360安全卫士的后门,而是其固有功能,但此功能对用户而言是个黑匣子,这个黑匣子对用户隐私安全形成理论上的可能威胁。
独立调查员感慨道,对于360上传这些商业机密数据的情况,目前外界还知之甚少。不过可以想象的是,一旦360服务器被黑客攻克,或者这些数据被360泄露或滥用,对中国网络和经济安全可能是灾难性的。
据陈明回忆说,上述隐私素材均为当年从upload.360safe.com网站下载所取。
2010年12月30日6时38分,百度贴吧上一位名为“爱wu痕”网友发布了一条信息:看看这里面360都搜集了什么啊?这条信息后面附上了一个360存储收集用户信息的下载地址。
“上述公开链接被谷歌(微博)搜索爬虫抓取后,进入谷歌网页库,被网友搜索到,大公开。”陈明表示,他也在第一时间按照上述链接网址下载了相关的数据。
此后,更多的专业人士加入了下载、分析的行列,甚至他们在安全论坛“kafan”讨论此事。很快,360员工发现了服务器信息泄露的事实,随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限,12时30分左右移除了此文件目录。
360服务器记录的内容,为何会被谷歌抓取泄露?这可能是众多人看到这些被泄露在外的信息时的最大疑问。
“当时,360在第一时间对外表示,其服务器外泄用户隐私的真相,是360一台服务器遭黑客攻击,导致少量数据外泄,被谷歌搜索引擎抓取。”但在陈明看来,“此次360服务器用户隐私的数据泄密更有可能的原因是目录权限没配置好,而不是遭遇黑客攻击。黑客攻击获取到用户隐私数据后应该是直接使用以谋利,怎么会通过贴吧论坛的方式无偿对外公开呢?”
据《每日经济新闻》记者了解,根据搜索引擎爬虫(一种自动获取网页内容的程序)原理,那些未被公开网址的目录或文件,网络访问者(包括网民和搜索引擎爬虫)是无法浏览或抓取的,而一旦网址被公开,搜索引擎爬虫再次光临该网站时,就能顺藤摸瓜地抓取到那些目录或文件。
这正是360服务器隐私数据链接被张贴在百度贴吧后很快被谷歌搜索引擎爬虫抓取、并被网民搜索到的原因,否则那些隐私数据即使出现权限控制问题,也是一个信息“孤岛”,爬虫照样触不可及。
独立调查员进一步指出,360已经建立了一套“孤岛”信息收集机制,其抓取的部分信息会直接在360搜索引擎上展现,而更多更隐私的内容或许会永远躺在360服务器中,直到被挖掘利用、或被泄露。
一个可以借鉴的真实故事是:去年9月,百度工程师针对360搜索展开的“鬼节捉鬼”实验已经证明:只要使用360浏览器访问“孤岛”页面,360服务器很快就能抓取这些页面内容,并完全在360搜索中展现出来。
随后一个月,百度某高管在一次面向全国100家媒体开放日的非正式会议上,现场演示了一个360搜索引擎抓取手机用户支付结果页面的截图。这些页面与支付宝付款结果页面类似,上面也有用户姓名、手机号等敏感信息。根据360搜索页面结果(见图片1),“http://buy.360.cn/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”这么复杂的链接,爬虫是如何发现的?它的出处在哪里?为何搜索结果的数量有39万之多?为什么直接点击无法访问?360此举动引发了相关政府部门的介入。
(出于人身安全考虑,本稿件署名均为化名)
观点
360被指侵门踏户 逾越安全边界
此前360方面曾公开对外表示,安全软件上传网址监测是行业惯例,带有用户名和密码的网址记录是由网站登录机制造成的,并非安全软件有意上传。
而独立调查员认为,这是360为自己侵犯用户隐私的行为所找的借口。在他看来,所谓云安全只是辅助机制,安全软件应尽可能排除可信的主流网站 (所有网银、政府网站,以及主流门户、新闻门户、社交门户、搜索门户等),而不是收集并上传所有网址;且在上传网址时,应排除网址中的访问请求参数等个人信息(网址中问号后接的全部子串)。另外,360即便要上传网址,也没有必要将其长期保留在其私有服务器内。安全厂商在验证其上传的网址、确认是安全网址后,即应在做必要统计后废弃,更没理由与用户机器唯一识别码成对地存储在服务器上。否则,这款软件究竟是安全软件还是间谍软件?是为了用户还是为了监视用户?他认为有充分理由对这些问题打一个很大的问号。
“360明知大量访问请求参数属于用户,而不属于访问目标网站。任何安全软件必须假设并接受‘用户本人无恶意’,这是对用户最起码的尊重,除非其目的是监控用户而非监控网站。云安全软件可以在明确告知并取得用户同意的前提下,上传浏览网址的非用户参数部分,以分析和阻止可能的恶意网址,且不得记录用户机器识别信息。这是最基本的隐私保护原则,而360安全卫士完全不符合此原则要求,罔顾用户隐私权以及由此衍生的财产权等个人权益。”
“至于用户所访问网站的技术实现方式、安全等级等,与360公司有什么关系呢?退一步讲,即使目标网站允许直接访问此类绝密信息,也不是360就可以做的。”独立调查员进一步分析说,“更为严重的问题在于,金融、证券方面的信息,在互联网上是与国家安全、军事等同等重要的禁区,属于高压线的范畴,互联网安全企业理应自觉回避,但360竟然毫不避嫌全面收集、形同监视,我无法理解其真实动机。这才是此事件最为严重的焦点。”
一个不容忽视的细节是:360服务器如今还有没有这些用户隐私?这些被360非法获取的用户机密数据是否曾被滥用,至今这依然是个待解的黑匣子之谜。