8日最新报道,在每经《360“棱镜门”:互联网信息安全“问题样本”》报道的影响之下,已有上海数家证券公司在6日接连发布内部紧急通知,禁止员工使用奇虎360安全卫士、360安全浏览器两款软件。
其中,上海某大型证券公司李姓总裁助理表示,客户的账户系统是公司最核心的资产,不容有任何闪失。他十分关注每经发布的这一报道,已经紧急召集IT部门的主管一起观看了报道中提及的视频,并得出结论:公司内部禁止使用360浏览器和360系列安全产品。
事出有因:360安全产品涉嫌盗取证券公司用户机密隐私
棱镜门事件让网络安全再度成为焦点,并蔓延至国内。而安全厂商奇虎360则因窃取用户隐私成为中国棱镜门主角之一。据财经媒体《每日经济新闻》7月4日报道,360通过旗下产品窃取并外泄了本属高度机密的证券金融行业客户账号信息,并曝光了相关视频资料作为证据,该视频得到证券机构从业者证实。
报道中指出,多名爆料人揭露,360软件导致某证券公司在中国期货保证金监控中心系统的绝密信息外泄。一位被泄露账户密码等重要私密信息的期货大客户华平平(化名)被《每经》记者联系上,确认后表示十分震惊。
报道引用安全专家分析称,通过360服务器外泄的数据,任何人都可以潜入中国安全等级极高的某些证券系统后台,操作甚至转移大客户的大额资金。整个过程神不知鬼不觉,这些证券大户们根本不知道,自己原来是在“裸奔”。
对此,360高管一方面推诿称对方保密不力,另一方面则引用证监会发言称“没有发现因外部攻击原因导致期货信息泄漏”作为辩解。
不过,IT界资深人士、微博名人“独立调查员”指出:“没有外部攻击”绝不等于“没有发生用户信息泄露”,否则期货保证金监控中心无需在其官方网站发布安全警示。由于360安全卫士安装在用户电脑,所以涉嫌窃取之举属于“越权内部监视”、不属于“非法外部攻击”。
同时,独立调查员也指出,证监会曾在其官方页面发出公告《关于加强期货信息安全保护的提示》——“提请广大期货投资者重视个人信息的保护,慎重使用各类软件,加强个人终端信息安全防护。在这则信息之下,360方面的辟谣显得异常蹊跷。
独立调查员微博揭露证监会
早有前科:涉嫌窃取用户隐私,已有多家企业抵制、卸载360产品
事实上,自2012年10月以来,已有多位网友在微博上曝光大型企业因信息安全风险因素而主动卸载360产品。
2012年12月,中国最大钢铁巨头宝钢曾要求全员卸载360产品,包括360安全卫士以及安全浏览器,宝钢员工多位员工均证实此事。同时,还包括施耐德电气、ABB、网易等各个行业,根本原因就在于360软件本身不安全。
图:施耐德电气要求公司卸载360
知名打假斗士方舟子曾对360产品窃取泄露用户隐私数据、诱骗绑架用户安装等行为进行大曝光。工信部曾介入调查360隐私问题。中科院《个人隐私泄露风险的技术研究》报告也证实360存收集、泄露用户隐私等三大隐患。
而针对证券金融行业的信息特殊性,一位乌云漏洞平台的技术专家表示:“360搜索爬虫无视Robots协议,违规抓取网站内容,尽管在后续对相应数据有调整,但仍有潜在威胁,因为对于像证券公司、银行这些企业来说,对数据的安全要求性非常高,如果造成数据泄露,就会造成较大影响。”
近年来,对于360安全软件擅自收集、上传用户隐私信息并造成泄漏的质疑声接连不断,此次360再次被媒体曝光其涉嫌窃取国内安全级别极高的证券金融行业用户隐私,将引起更大范围的隐私安全恐慌。而360高管这种推诿的态度,不仅无助于问题解决,反而可能引起更多用户的反感和360软件卸载行动。
|
