360上传证券期货客户用户名密码 证券机构惊慌自卫

20130704031045665.jpg  保存到相册

上传时间: 2013-7-4 20:32

文件大小: 30.57 KB

下载次数: 26

点击文件名下载图片

 

20130704031045775.jpg  保存到相册

上传时间: 2013-7-4 20:32

文件大小: 40.86 KB

下载次数: 19

点击文件名下载图片

 

3月27日，《每日经济新闻》记者致电中国一家证券公司（出于相关考虑，以下简称A公司），告知该公司证券期货客户账号信息被外泄，不确定外泄账号的数量及其影响。
　　这是一个令人惊骇的问题，A公司新闻发言人当即坚称，公司证券期货系统是国内最为规范而严格的系统，绝无可能被侵入。但记者告诉上述新闻发言人，《每日经济新闻》手中握有A公司客户使用360软件导致其在中国期货保证金监控中心系统绝密信息外泄的视频证据。
　　该新闻发言人听闻此事，并根据《每日经济新闻》提供的视频证据信息进行内部核查，最终证实了该视频信息的准确性。很快，该消息通过A公司传到该公司旗下的期货大客户──被泄露账户密码等私密信息的受害客户华平平（化名）那里，其当场表示：令人震惊。

突如其来的泄密：期货大户隐私信息“裸奔”/
　　事情起源于今年3月初，《每日经济新闻》记者接到爆料，一位自称陈明（化名）的网友称其手中有一个绝密视频，内容是其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统，进而获得用户期货交易等相关隐私信息。
　　陈明告诉记者，2月26日，其从网上阅读了《每日经济新闻》独家报道的《360黑匣子之谜──奇虎360“癌”性基因大揭秘》，对其中揭露的360涉嫌存在窃取用户隐私，并为了商业利益通过在“360安全卫士”“360安全浏览器”中植入“后门”与360云端配合，粗暴侵犯网民隐私权、知情权，破坏行业规则和秩序的问题“感到震惊”，并表示赞同。
　　事实上，陈明只是众多爆料人中的一位。自《每日经济新闻》刊发上述报道之后，大量用户、受害者、技术爱好者均通过各种渠道，向本报提供了各类360涉嫌“作恶”的证据。
　　陈明表示，过去几年，360由于涉嫌上传用户隐私而遭受的指责众多。而目前其掌握的这一份视频证据，意味着360服务器涉嫌每时每刻都在上传大量用户的隐私数据，其中甚至包括极为敏感的金融证券系统的账户和密码！
　　为了证实陈明手中视频内容的真实性，《每日经济新闻》三地记者联动，通过各种渠道采访，并最终找到了A公司的期货大户华平平。
　　当A公司证实了视频内容的真实性后，马上意识到了事情的严重性，该公司新闻负责人坦言：他们也不理解这类机密信息会被360服务器收集的背后原因。
　　A公司一位内部人士透露，针对上述事件，A公司三地高层临时召开电话会议，试图应对这一次泄露事件可能导致的重大品牌危机，同时公司IT部门也在调查此事，并研究应对方案。
　　至此，360涉嫌窃取国内安全级别极高的证券金融行业用户隐私的证据，终于曝光于世。这也意味着，通过360服务器的数据，任何人都可以潜入中国安全等级极高的一些证券系统后台，“替”大客户进行大额资金操作，甚至是资金转移。最为恐怖的是，整个过程神不知鬼不觉，这些证券大户们根本不知道，自己原来是在“裸奔”。

隐私信息“被现场直播”：三段视频浮出水面/
　　陈明最初是通过网络方式向《每日经济新闻》记者提供了其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统，获取用户重要信息的相关证据。
　　根据陈明自述，此证据是其在2010年12月31日获取的，一共分为三个部分。
　　第一部分和第二部分（这两部分已合并为“视频1”，可直接扫描“二维码1”观看；或订阅每日经济新闻官方微信号2202419768，回复“视频1”观看）显示，通过在线浏览360服务器upload.360safe.com，可以清晰地看到大量网民在2010年12月的上网浏览记录，包括在淘宝的浏览记录、订单操作过程，访问好友QQ空间，通过百度搜索哪些电影、下载什么播放软件等皆可被现场直播……
　　事实上，上述两段视频在2010年曾经一度热传过，但如今已被删得所剩无几。
　　最为关键的第三段视频 （扫描“二维码2”观看“视频2”；或订阅每日经济新闻官方微信号2202419768，回复“视频2”观看）则是首次曝光，视频显示，从360泄露的用户浏览日志文件中复制出某金融机构的网址及其访问请求参数，通过浏览器进入目标网页，便可获得证券期货市场大客户的绝密信息。
　　以已经被证实真实身份的华平平为例，通过视频可以清晰看到他的真实姓名、期货公司名称、账号、资金量、下单交易记录等，每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息被暴露无疑。
　　与陈明一样下载过360泄密信息的一位安全工作人员殷某也曾经有过这样意外的发现。2010年12月31日，其发布微博称，“我在#360#的帮助下完成了2010年的最后一次入侵检测或者说Hacking，利用#360#收集的用户行为日志中找到了#携程#某代理商的身份认证信息，成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢？”
　　在《每日经济新闻》记者获得的360服务器外泄的数据中，还有其他几位受害人的机器码、所属期货公司ID等信息，这也意味着只要通过360服务器记录的这些外泄数据，任何人都可以轻易地侵入这些客户的资金账户，获得用户敏感信息。
　　这些翔实的视频证据，意味着360不仅涉嫌上传用户网址，而且存在刻意收集用户账户和密码的嫌疑。如果不是陈明将上述视频曝光，以及《每日经济新闻》记者的联系求证，这些带有用户隐私数据的重要信息或许一直会神不知鬼不觉地保存在360服务器，而被入侵的A公司和华平平等用户本人至今或许还蒙在鼓里。
　　在稿件操作过程中，基于私人信息保密的需要，华平平婉拒了《每日经济新闻》记者的采访请求。

360隔空取物？借助系列产品窥“孤岛”/
　　在长期关注信息安全漏洞相关问题的乌云漏洞报告平台上，曾有专业人士披露过很多关于搜索引擎和云相关的安全问题报告。乌云漏洞报告平台负责人认为，期货、股票的操作信息与账号等隐私信息是互联网上最机密的部分，在任何情况下，被第三方抓取或获得的可能性都几乎可以忽略不计，但为什么某些特殊搜索引擎如360却可以获得呢？
　　该负责人指出，金融无疑是全球安全级别最高的行业之一，该体系完全是一个闭环，它们就像完全意义上的密封“孤岛”，外人一般只能在外围“转悠”，很难进入到系统内部，也就是说，传统的搜索引擎从外部根本无法抓取到这些 “孤岛”的信息，除非借助用户需要使用的某些强大客户端如浏览器，搜索引擎才可以直接抓取用户终端上的访问记录和数据。
　　对于360能够蹊跷获得这些机密信息的原因，微博名人、程序员“独立调查员”解释说，不管证券行业安全级别有多高，体系是多么繁琐可靠，只要用户上网的入口产品是360系列，或者安装了360的网络安全产品，这些“孤岛”或者隐私信息，都存在被上传到360服务器的可能性。
　　独立调查员否定了这是通过360后门机制来截取的可能性。他分析说，360安全卫士拦截并上传用户浏览行为的技术手段，与网络工程师常用的网络抓包分析工具类似。不同的是，360安全卫士只需要实时拦截并分析HTTP协议数据包，从中提取用户访问的目标网址，其拦截过程与结果对用户来说都不可见，这并非360安全卫士的后门，而是其固有功能，但此功能对用户而言是个黑匣子，这个黑匣子对用户隐私安全形成理论上的可能威胁。
　　独立调查员感慨道，对于360上传这些商业机密数据的情况，目前外界还知之甚少。不过可以想象的是，一旦360服务器被黑客攻克，或者这些数据被360泄露或滥用，对中国网络和经济安全可能是灾难性的。
　　据陈明回忆说，上述隐私素材均为当年从upload.360safe.com网站下载所取。
　　2010年12月30日6时38分，百度贴吧上一位名为“爱wu痕”网友发布了一条信息：看看这里面360都搜集了什么啊？这条信息后面附上了一个360存储收集用户信息的下载地址。
　　“上述公开链接被谷歌搜索爬虫抓取后，进入谷歌网页库，被网友搜索到，大公开。”陈明表示，他也在第一时间按照上述链接网址下载了相关的数据。
　　此后，更多的专业人士加入了下载、分析的行列，甚至他们在安全论坛“kafan”讨论此事。很快，360员工发现了服务器信息泄露的事实，随后在当天10时30分左右关闭了upload.360safe.com/url_files/目录浏览权限，12时30分左右移除了此文件目录。
　　360服务器记录的内容，为何会被谷歌抓取泄露？这可能是众多人看到这些被泄露在外的信息时的最大疑问。
　　“当时，360在第一时间对外表示，其服务器外泄用户隐私的真相，是360一台服务器遭黑客攻击，导致少量数据外泄，被谷歌搜索引擎抓取。”但在陈明看来，“此次360服务器用户隐私的数据泄密更有可能的原因是目录权限没配置好，而不是遭遇黑客攻击。黑客攻击获取到用户隐私数据后应该是直接使用以谋利，怎么会通过贴吧论坛的方式无偿对外公开呢？”
　　据《每日经济新闻》记者了解，根据搜索引擎爬虫（一种自动获取网页内容的程序）原理，那些未被公开网址的目录或文件，网络访问者（包括网民和搜索引擎爬虫）是无法浏览或抓取的，而一旦网址被公开，搜索引擎爬虫再次光临该网站时，就能顺藤摸瓜地抓取到那些目录或文件。
　　这正是360服务器隐私数据链接被张贴在百度贴吧后很快被谷歌搜索引擎爬虫抓取、并被网民搜索到的原因，否则那些隐私数据即使出现权限控制问题，也是一个信息“孤岛”，爬虫照样触不可及。
　　独立调查员进一步指出，360已经建立了一套“孤岛”信息收集机制，其抓取的部分信息会直接在360搜索引擎上展现，而更多更隐私的内容或许会永远躺在360服务器中，直到被挖掘利用、或被泄露。
　　一个可以借鉴的真实故事是：去年9月，百度工程师针对360搜索展开的“鬼节捉鬼”实验已经证明：只要使用360浏览器访问“孤岛”页面，360服务器很快就能抓取这些页面内容，并完全在360搜索中展现出来。

随后一个月，百度某高管在一次面向全国100家媒体开放日的非正式会议上，现场演示了一个360搜索引擎抓取手机用户支付结果页面的截图。这些页面与支付宝付款结果页面类似，上面也有用户姓名、手机号等敏感信息。根据360搜索页面结果，“[ u r l ] h t t p : / / b u y . 3 6 0 . c n / u m p a y / c o t / a p p - p r o x y . h t m l [ / u r l ] ？ o d = M j A w M D E y M z I x N z M 3 L D Q 1 L D l M z N i N G Q 1 N j J j Y T l j Y 2 R l Z T A x O T h i Z D Y x M z Z j N D Y 2 & ；o p = s h ”这么复杂的链接，爬虫是如何发现的？它的出处在哪里？为何搜索结果的数量有39万之多？为什么直接点击无法访问？360此举动引发了相关政府部门的介入。

观点
　　360被指侵门踏户 逾越安全边界
　　此前360方面曾公开对外表示，安全软件上传网址监测是行业惯例，带有用户名和密码的网址记录是由网站登录机制造成的，并非安全软件有意上传。
　　而独立调查员认为，这是360为自己侵犯用户隐私的行为所找的借口。在他看来，所谓云安全只是辅助机制，安全软件应尽可能排除可信的主流网站 （所有网银、政府网站，以及主流门户、新闻门户、社交门户、搜索门户等），而不是收集并上传所有网址；且在上传网址时，应排除网址中的访问请求参数等个人信息（网址中问号后接的全部子串）。另外，360即便要上传网址，也没有必要将其长期保留在其私有服务器内。安全厂商在验证其上传的网址、确认是安全网址后，即应在做必要统计后废弃，更没理由与用户机器唯一识别码成对地存储在服务器上。否则，这款软件究竟是安全软件还是间谍软件？是为了用户还是为了监视用户？他认为有充分理由对这些问题打一个很大的问号。
　　“360明知大量访问请求参数属于用户，而不属于访问目标网站。任何安全软件必须假设并接受‘用户本人无恶意’，这是对用户最起码的尊重，除非其目的是监控用户而非监控网站。云安全软件可以在明确告知并取得用户同意的前提下，上传浏览网址的非用户参数部分，以分析和阻止可能的恶意网址，且不得记录用户机器识别信息。这是最基本的隐私保护原则，而360安全卫士完全不符合此原则要求，罔顾用户隐私权以及由此衍生的财产权等个人权益。”
　　“至于用户所访问网站的技术实现方式、安全等级等，与360公司有什么关系呢？退一步讲，即使目标网站允许直接访问此类绝密信息，也不是360就可以做的。”独立调查员进一步分析说，“更为严重的问题在于，金融、证券方面的信息，在互联网上是与国家安全、军事等同等重要的禁区，属于高压线的范畴，互联网安全企业理应自觉回避，但360竟然毫不避嫌全面收集、形同监视，我无法理解其真实动机。这才是此事件最为严重的焦点。”
　　一个不容忽视的细节是：360服务器如今还有没有这些用户隐私？这些被360非法获取的用户机密数据是否曾被滥用，至今这依然是个待解的黑匣子之谜。

多年以来，人们都愿意以“坏孩子”来形容360。这既有贬义，觉得360作为一个企业公民，许多言行多少有点异于常人；但也有褒的一面，认为它在业内扮演的“坏孩子”角色所催生的鲶鱼效应，会让整个行业更具活力。
　　自2月26日本报刊登专题报道《360黑匣子之谜──奇虎360“癌”性基因大揭秘》以来，有关“360安全，是否安全”的谈论已成为一个争议性的话题。
　　如果说这组报道主要是从互联网专业的领域来解读360安全产品的“不安全问题”的话，那么，今天我们将以具体个案从企业的社会属性来解剖，看360的所作所为究竟是否符合“企业公民”的最基本要求。
　　在文中披露的个例中，2010年视频故事说明，360涉嫌非法收集用户机密信息──某证券期货账户密码，并由于保护不当，造成用户的资金数据、各项期货操作数据被曝光。作为受害者的期货操作当事人，在此之前毫不知情。这暴露出360在用户隐私信息获取方面，已经突破了道德和法律的底线。
　　到目前为止，外人无法知道360为何未经用户同意而擅自收集用户隐私数据。或许，海量的用户隐私数据可帮它最方便、最快捷地挖掘出商业价值，开发出相关产品，甚至可以比用户更了解用户。但是，这种投机模式就像一场亡命的赌博，赢了市场份额，却输掉了一个企业的“良心”。
　　“苹果上架”与“苹果下架”事件，更揭示了360和苹果之间富有戏剧性的博弈过程，这也是360疯狂投机模式与国外网络规则的一场真实较量。不管苹果为何下架360，360完全可以选择正面交涉、遵从苹果规则整改，或诉诸法律等规则内的应对措施，但是，360却试图走一条令人瞠目的逆袭道路：抓住苹果AppStore规则漏洞，通过旗下一个马甲公司重新上传360应用。但它没料到，苹果快速反击，令其颜面扫地。
　　在各种机构评测中，360涉嫌通过一些“非正常”手段，获得相关产品安全认证，而且与评测机构存在千丝万缕的关联关系，将其投机取巧的性格展现得淋漓尽致。正是这样，它用来自证安全和清白的各类产品安全认证证书，也被拉下了“神坛”。
　　360敢这样做，原因是人们对网络安全的认识还普遍偏低，同时也说明整个社会对360这类企业的基本监督的缺位。
　　《每日经济新闻》记者在调查中发现，360所谓的创新模式，充满了浓重的功利和投机色彩。作为企业公民，它的一些行为，已给广大用户甚至整个社会带来了一种焦虑与不安。更大的隐患在于，它就像一把悬在头顶上的达摩克利斯剑，不知什么时候就会刺中你。
　　昨日，记者向360董事长周鸿祎发去采访短信，他回复称，“360和每经的诉讼案件已经进入法律程序，作为当事双方，在诉讼结果出来之前，我不认为我们可以中立客观地交流涉案的内容，你所感兴趣的内容，我们已经多次回答了其他媒体的采访，请您关注相关报道。”

在今年初由AV-Test反病毒测试有限责任公司 （以下简称AV-Test）举行的一次全球手机安全产品测试中，360手机卫士获得 “及格”的成绩。但最近，直接参与该次测试的国外一家知名安全软件厂商首席技术官W先生（化名）向《每日经济新闻》记者爆料，360手机卫士这次的测试结果原来是 “不及格”，但360公司通过“特殊的手段”，最终让360安全卫士“及格”过关。
　　该专家认为，360的行为涉嫌作弊，同时，该测试机构也涉嫌作弊。

排名原为倒数第二/
　　主持此次测试的AV-Test成立于2004年，公司所在地为德国萨克森-安哈尔特州的马格德堡。
　　AV-Test公司在反病毒评测领域有超过15年历史──AV-Test反病毒测评作为马格德堡大学的一个科研项目早已存在。其一直以海量病毒库检测、独立客观的检测过程和严格的标准著称，被业界公认为世界级杀软的对决平台。据《每日经济新闻》记者了解，在其既往的历史上，从未出现过测试过程不合理或人为作弊的情况。
　　W先生真实身份为国外一家知名安全软件厂商首席技术官，为国际上著名的安全技术专家，并经常以专家的身份主持过许多大型安全检测与评测工作。其任职的安全机构也是此次AV-Test参评的国际厂商之一。W先生一再强调，因为全程参与和见证了此次测评全过程，因此其信息“确凿可靠”。
　　据记者了解，“AV-Test反病毒测试”主要提供反病毒产品测试、技术含量测试以及跟踪监测计算机安全产品的长期检测率。其中，移动安全产品测试分为3个类别：防护、可用性、增强安全性。每个类别的测试满分分别为6.0、6.0、1.0，总分需要达到或超过8.5才能获得AV-Test的认证。
　　据W先生透露，恶意软件检测率 （度量安全产品的防护能力）是此次测试最为重要的指标，AV-Test在检测中会根据厂商的检测率数量级给出0~6分的“防护能力分”。
　　“而此次AV-Test主要测试了手机安全软件的查杀能力、误杀能力。通过对综合病毒样本的查杀率和误杀率来给手机安全软件的查杀能力打分，包括Trustgo、AntiyAvl、Bitdefender等23家各国厂商参与此次测评，而国内也有360手机卫士等3家厂商参与了测评。”W先生接着透露，360手机卫士的丢分部分，主要在于其恶意软件检测率过低。“其检测率只有75.32%、此项得分仅2分，在参评的23款手机安全软件中，排名倒数第二。”
　　W先生给 《每日经济新闻》记者提供了公测结果的原始文件。这份原始文件很清楚地标明，360的公测结果不理想，排名仅为倒数第二。
　　为此，记者又分别从参与此次测评的其他几家公司中获得了相关数据文件，这些文件所述与W先生提供的数据是相同的，均可证明原始文件中，360为“不及格”。
　　安全测评中的魔法/
　　那么，360在 “不及格”的情况下，又是怎样“动手脚”变成“及格”的呢？《每日经济新闻》记者对此展开了深入了解。 根据AV-Test测试原始数据显示，360在“增强安全”项中，获得1分（满分为1分），在“可用性”上获得5.0分（满分为6.0分），而“防护能力”项上，仅获得2.0分 （满分为6.0分）。显然，丢分项发生在“防护能力”上。而据W先生介绍，在这三项考核指标中，恰好是这项指标是最重要的，也是最容易丢分的。要获得认证通过，其总评需达到8.5分──这是最低指标分。显然，是“防护能力”拉了后腿。
　　那么，360的总分是怎样被拉到8.5分的呢？W先生提供的信息竟然是：AV-Test悄悄改动了测试样本集的样本数。
　　W先生介绍说，AV-Test这次测试的样本数，原本取样数是952个，360手机卫士检出数是717个，其检测合格率为75.32%。按这一检出率，可以获得2.0分。但令人惊讶的是，在最终测试结束的样本总量数上，发生了惊人的改变：由952份缩减至869份──共减少了83份样本。
　　更令人难以置信的是，在原始测试文件的数据中，360的漏检数为235份，而减少的83份样本，可以设想出两种可能性：
　　1、从235份漏检样本中，抽出83份样本全部剔除，同时，再从漏检样本中，人为地将13份漏检样本改为“检出”；
　　2、抽出83份样本中，有部分是检出合格的样本，部分为漏检样本，而合格样本增加一份，人为地将漏检样本改为“检出”的数量也增加1份。
　　这样一来，最终呈现的数据为：
　　样本数869份，检出样本数730份，漏检出样本数139份，总检出合格率为84%。
　　而“防护能力”项的2.5分的合格率区间为77.69%~84.33%，由此，360获得宝贵的0.5分──其总分达到8.5分。
　　正是基于这种 “分母减、分子增”的魔术，360手机卫士及格过关。
　　独立调查员认为，从统计学角度讲，产品测评属于抽样调查统计，根据一定规则（包括但不限于随机）抽取952个病毒木马样本 “代表”所有病毒木马。在测试结果出炉后再回头选择性地缩减样本量、直接重新统计，而不是全部重新抽样、重新测试，显然不符合统计规范，足以否定其测评结果的有效性。“从已获知的信息来看，人为操纵痕迹明显，这是一起涉嫌造假的测评事件。”
　　但也有专家认为，在最终审核样本时，发现有一定的问题，从而将一定的不合格样本剔除，这在科学测试中，也是可能发生的。
　　不过，中国反病毒专家李铁军指出，即使如此，对于一项非常严肃的科学测试，如果测试结果因为样本出现问题而需要对样本进行重新定义，并修改测试结果，其无论怎样，都是应该以通报的方式对所有参加测试的厂商给予告知，并以充分的理由，赢得参与者的认可。
　　李铁军认为，对于一家以严肃、严谨著称的公司，在这一“细节”上发生这样的事件，“是不可理解的”。
　　记者曾就此事联系了AV-Test相关负责人，但截至记者发稿时，对方仍未就相关问题做出回应。
　　（出于对记者人身安全的考虑用化名）