搜狗 长点儿心吧

　　近日来的搜狗很烦恼。11月5日上午8：00左右，微博上有大量用户反馈搜狗浏览器有异常问题，在使用个人QQ账户登陆搜狗浏览器时，可以查看到大量其他用户的账号和密码，并可以直接登录到这些账户中。当天下午，著名漏洞报告平台WooYun(乌云)发布了搜狗浏览器存在漏洞的消息。此后，中央电视台《24小时》、《新闻直播间》、《热点扫描》、《交易时间》等栏目都详细报道了记者亲自验证该漏洞信息的全过程，新华社等媒体也进行了先后报道。

　　随后，360和搜狗之间的弹窗喊话就开始了。一个提醒用户修改密码，一个指责对方恶意抹黑。但是，事实是最好的证据。对于用户来说，关心的不是口水战，而是自己的隐私安全。

　　据360爆料，早在10月18号，搜狗用户论坛上已经有人反映这个问题，“为什么别人帐户的表单数据进入到我的浏览器里？”这位用户称，已经是第二次出现这种情况了。这些数据包括邮箱、QQ空间、建设银行、百度等网站的帐号密码，而且都能登录，“不知道我的信息是不是也被别人同步走了。”那时，这个帖子并未引起足够关注。

　　直到11月5日“东窗事发”，360立即组织技术人员对这起“重大安全事故”开展验证。技术人员在一台只有基本应用程序的电脑中，下载安装搜狗浏览器，使用QQ账号和密码进行注册和登陆搜狗浏览器，并双击退出该系统。然后，在工具栏里点击“智能填表”，再选择管理表单数据，网页上就会弹出一个表单。继续点击，就会出现大量不同用户的个人账号密码等信息。这些信息已经超过100M，而一套用户名和密码通常只有几字节，信息量之大可谓“触目惊心”。

　　据相关技术专家介绍，导致泄密的原因，是搜狗浏览器的自动填表功能，这个功能会把用户的账号和密码上传到搜狗服务器上。当用户再次使用搜狗浏览器时，搜狗会把收集的用户账号和密码从服务器回传到浏览器上，以方便用户使用。然而，由于搜狗的软件在同步方面存在设计缺陷，用户退出后，会触发该设计错误，导致服务器将大量其他用户的账号和密码回传到浏览器上，除了账号和密码外，还包括其他用户的收藏夹信息、历史记录等。

　　“智能填表的初衷是方便用户在不同的电脑间登陆自己的账户并同步数据，但数据同步服务器一旦发生泄密，后果和损失将不可估量。”360公司副总裁曲晓东介绍。

　　今年9月1日，工业和信息化部发布的《电信和互联网用户个人信息保护规定》正式实施，其中第十四条则表明，“电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。”

　　在这次事故中，被泄露的用户账号信息恰好包括了登录账号和密码、收藏夹数据和上网历史记录。对于提供互联网软件服务的公司来说，所收集的用户隐私数据，特别是账号密码等，理应提供高级别的安全加密措施，保证用户个人信息不被解密，以及不同用户之间数据的隔离，而不是随意下载并且未曾加密。

　　虽然，在《电信和互联网用户个人信息保护规定》中要求，电信管理机构应对报告或者发现的可能违反本规定的行为的影响进行评估，如影响特别重大的，相关省、自治区、直辖市通信管理局应当向工业和信息化部报告，并视情节轻重处以罚款等，但是没有更加详细的规定，也没有对此类公众信息安全突发事件有进一步的定义和管理措施，更没有对涉及个人信息的互联网软件设计架构，制定相关标准。

　　电子商务、互联网金融已经深深融入到人们的生活和工作中，对个人网络信息隐私的关注，应该从商业竞争和企业之间的乱仗，转移到社会治安和公共安全的范畴中。既然不能置之度外，企业，麻烦“长儿点心吧”！

　　本报记者 王臻

关注读览天下微信， 100万篇深度好文， 等你来看……