這正是360伺服器隱私數據連結被張貼在百度貼吧後很快被谷歌搜尋引擎爬蟲抓取、並被網民搜索到的原因,否則那些隱私數據即使出現權限控制問題,也是一個信息「孤島」,爬蟲照樣觸不可及。
獨立調查員進一步指出,360已經建立了一套「孤島」信息收集機制,其抓取的部分信息會直接在360搜尋引擎上展現,而更多更隱私的內容或許會永遠躺在360伺服器中,直到被挖掘利用、或被泄露。
一個可以借鑑的真實故事是:去年9月,百度工程師針對360搜索展開的「鬼節捉鬼」實驗已經證明:只要使用360瀏覽器訪問「孤島」頁面,360伺服器很快就能抓取這些頁面內容,並完全在360搜索中展現出來。
隨後一個月,百度某高管在一次面向全國100家媒體開放日的非正式會議上,現場演示了一個360搜尋引擎抓取手機用戶支付結果頁面的截圖。這些頁面與支付寶付款結果頁面類似,上面也有用戶姓名、手機號等敏感信息。根據360搜索頁面結果,這麼複雜的連結,爬蟲是如何發現的?它的出處在哪裡?為何搜索結果的數量有39萬之多?為什麼直接點擊無法訪問?360此舉動引發了相關政府部門的介入。
(出於人身安全考慮,本稿件署名均為化名)
觀點
360被指侵門踏戶逾越安全邊界
此前360方面曾公開對外表示,安全軟體上傳網址監測是行業慣例,帶有用戶名和密碼的網址記錄是由網站登錄機製造成的,並非安全軟體有意上傳。
而獨立調查員認為,這是360為自己侵犯用戶隱私的行為所找的藉口。在他看來,所謂雲安全只是輔助機制,安全軟體應儘可能排除可信的主流網站(所有網銀、政府網站,以及主流門戶、新聞門戶、社交門戶、搜索門戶等),而不是收集並上傳所有網址;且在上傳網址時,應排除網址中的訪問請求參數等個人信息(網址中問號後接的全部子串)。另外,360即便要上傳網址,也沒有必要將其長期保留在其私有伺服器內。安全廠商在驗證其上傳的網址、確認是安全網址後,即應在做必要統計後廢棄,更沒理由與用戶機器唯一識別碼成對地存儲在伺服器上。否則,這款軟體究竟是安全軟體還是間諜軟體?是為了用戶還是為了監視用戶?他認為有充分理由對這些問題打一個很大的問號。
「360明知大量訪問請求參數屬於用戶,而不屬於訪問目標網站。任何安全軟體必須假設並接受『用戶本人無惡意』,這是對用戶最起碼的尊重,除非其目的是監控用戶而非監控網站。雲安全軟體可以在明確告知並取得用戶同意的前提下,上傳瀏覽網址的非用戶參數部分,以分析和阻止可能的惡意網址,且不得記錄用戶機器識別信息。這是最基本的隱私保護原則,而360安全衛士完全不符合此原則要求,罔顧用戶隱私權以及由此衍生的財產權等個人權益。」
「至於用戶所訪問網站的技術實現方式、安全等級等,與360公司有什麼關係呢?退一步講,即使目標網站允許直接訪問此類絕密信息,也不是360就可以做的。」獨立調查員進一步分析說,「更為嚴重的問題在於,金融、證券方面的信息,在網際網路上是與國家安全、軍事等同等重要的禁區,屬於高壓線的範疇,網際網路安全企業理應自覺迴避,但360竟然毫不避嫌全面收集、形同監視,我無法理解其真實動機。這才是此事件最為嚴重的焦點。」
一個不容忽視的細節是:360伺服器如今還有沒有這些用戶隱私?這些被360非法獲取的用戶機密數據是否曾被濫用,至今這依然是個待解的黑盒子之謎。
