金山涉嫌泄露網(wǎng)民隱私,專家稱不存在主觀動機

新年過后，一條消息震驚全國網(wǎng)民。

有網(wǎng)友在著名反病毒論壇“卡飯”曝光，通過百度、谷歌等搜索工具發(fā)現(xiàn)，在金山公司的一臺服務(wù)器上記錄了大量全國各地網(wǎng)友的用戶名、密碼以及上網(wǎng)記錄，搜索結(jié)果高達3100多萬條！其中包括用戶的QQ空間、新浪微博、人人網(wǎng)、開心網(wǎng)等常用網(wǎng)站，目前已有一些不法分子下載這些隱私。

為驗證這些信息是否真實，記者按照金山收集的一條隱私，順利訪問到中移動山西分公司給中小企業(yè)的企業(yè)信息化平臺“企信通”頁面，查看到某電器公司、某醫(yī)院甚至交警支隊的短信記錄。

數(shù)據(jù)顯示，金山毒霸用戶量大約有1500多萬，其中不少是企業(yè)用戶，加之國內(nèi)最大的聊天軟件QQ近期正大力推廣“QQ電腦管家+金山毒霸”的所謂“安全組合”，如果該隱患一旦涉及6億QQ用戶，后果不堪設(shè)想。

對此，金山毒霸聲明稱，部分網(wǎng)友提交了包含自己隱私的資料。對此有網(wǎng)友調(diào)侃說：用戶真不怕麻煩，手工提交了3100萬條數(shù)據(jù)給金山？還有網(wǎng)友貼出截圖證明，金山服務(wù)器泄露的用戶名和密碼早在去年11月就能搜到。

專家提醒，金山毒霸的用戶應(yīng)盡快修改自己的各種密碼、登錄信息等敏感個人資料。使用金山毒霸的企業(yè)網(wǎng)管，則可以立即在運行核心服務(wù)、關(guān)鍵數(shù)據(jù)庫的PC和服務(wù)器上卸載金山的相關(guān)軟件，避免機密數(shù)據(jù)繼續(xù)外泄，并建議所有正在使用或曾經(jīng)使用過金山相關(guān)軟件的用戶，立即修改重要賬號、登錄密碼。

此前的2010年12月31日晚，金山公司曾緊急召開新聞發(fā)布會，宣稱其競爭同行360搜集和泄露用戶的隱私信息，并通過網(wǎng)站專題和全網(wǎng)彈窗，高調(diào)發(fā)布中國互聯(lián)網(wǎng)“一級安全預(yù)警”。然而元旦長假剛過，事情就發(fā)生了戲劇性的轉(zhuǎn)變，金山悄然撤下了所有360的負面專題與文章，并撤回“預(yù)警”。

面對來自金山的公開指責(zé)，360方面回應(yīng)稱沒有收集任何的用戶名和密碼信息，并對外公布了360網(wǎng)盾網(wǎng)址云查詢技術(shù)原理，并表示公司與金山同樣采用的都是“惡意網(wǎng)址上傳機制”。360技術(shù)副總裁譚曉生解釋稱，這是行業(yè)通行做法：安全軟件在發(fā)現(xiàn)用戶瀏覽器受到惡意代碼攻擊時，會將可疑惡意網(wǎng)址上傳到服務(wù)器進行自動分析，然后把鑒定出來的掛馬網(wǎng)址加入惡意網(wǎng)址庫，除了金山和360外，諾頓、趨勢等也都有類似的機制。

對國內(nèi)安全軟件的這場亂戰(zhàn)，北京郵電大學(xué)信息安全中心副教授辛陽博士表示，實際上，金山和360等各安全企業(yè)都采用了相似的云安全樣本采集機制，也面臨類似的問題。即便存在無意中上傳用戶隱私的情況，相信并非是安全企業(yè)主觀上去故意搜集用戶隱私信息。搜集用戶隱私是很嚴(yán)重的問題，企業(yè)不會觸碰這個火線，而且從動機學(xué)的角度來看，企業(yè)也沒有這樣做的動機，不可能通過這個獲利。

“但安全行業(yè)是一個相對的概念，沒有一個廠家敢說自己的產(chǎn)品沒有任何漏洞。關(guān)鍵是，發(fā)現(xiàn)問題該如何補救。現(xiàn)在安全企業(yè)應(yīng)該把精力放到如何提高技術(shù)、提升產(chǎn)品質(zhì)量上來，而不是打口水戰(zhàn)，這對行業(yè)沒有任何好處。”辛陽博士說，“對用戶來說，應(yīng)盡量采用大品牌的軟件，同時盡量少上不信任的網(wǎng)站，定期升級系統(tǒng)。對于特別保密的信息，應(yīng)該采取特別保護措施。”

金山毒霸“隱私門”給人們又敲響了一記警鐘。專家呼吁：有關(guān)部門應(yīng)盡快立法。公益律師聯(lián)盟秘書長姚克豐對記者表示，此事暴露了三大問題：第一是金山等企業(yè)收集用戶隱私是否合法？第二是即使用戶允許收集，保留用戶隱私的方式是否安全？第三是造成隱私泄露，應(yīng)當(dāng)承擔(dān)什么法律責(zé)任？云安全在給網(wǎng)民帶來更多安全保障的同時，是否可以在主管部門的監(jiān)督與引導(dǎo)下，建立一種企業(yè)間自查與互查機制，以避免可能存在的安全漏洞？