今年2月初,《每日经济新闻》发布了一篇名为《360黑匣子之谜——奇虎360“癌”性基因大揭秘》的深度文章,号称经过数月调查,并得到了“独立调查员”等的帮助,揭开了360窃取隐私的层层内幕。文章一出变引发轩然大波,360更是立刻发表声明,宣布要起诉每经。
目前,上海市徐汇区人民法院已经正式受理此案,预计近期会组织双方交换证据,开庭审理,而就在这个节骨眼儿上,每经再次抛出重磅炸弹,指责360私自上传证券期货用户的账号、密码,导致很多大户的机密信息外泄,性质更为严重。
360上传证券期货用户名密码 证券机构惊慌自卫
3月27日,《每日经济新闻》记者致电中国一家证券公司(出于相关考虑以下简称A公司),告知该公司证券期货客户账号信息被外泄,不确定外泄账号的数量及其影响。
这是一个令人惊骇的问题。A公司新闻发言人当即坚称,公司证券期货系统是国内最为规范而严格的系统,绝无可能被侵入,但记者告诉上述新闻发言人,《每日经济新闻》手中握有A公司客户使用360软件导致其在中国期货保证金监控中心系统绝密信息外泄的视频证据。
该新闻发言人听闻此事,并根据《每日经济新闻》提供的视频证据信息进行内部核查,最终证实了该视频信息的准确性。很快,该消息通过A公司传到该公司旗下的期货大客户——被泄露账户密码等私密信息的受害客户华平平(化名)那里,其当场表示:令人震惊。
突如其来的泄密:期货大户隐私信息“裸奔”
事情起源于今年3月初,《每日经济新闻》记者接到爆料,一位自称陈明(化名)的网友称其手中有一个绝密视频,内容是其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,进而获得用户期货交易等相关隐私信息。
陈明告诉记者,2月26日,其从网上阅读了《每日经济新闻》独家报道的《360黑匣子之谜——奇虎360“癌”性基因大揭秘》,对其中揭露的360涉嫌存在窃取用户隐私,并为了商业利益通过在“360安全卫士”“360安全浏览器”中植入“后门”与360云端配合,粗暴侵犯网民隐私权、知情权,破坏行业规则和秩序的问题“感到震惊”,并表示赞同。
事实上,陈明只是众多爆料人中的一位。自《每日经济新闻》刊发上述报道之后,大量用户、受害者、技术爱好者均通过各种渠道,向本报提供了各类360涉嫌“作恶”的证据。
陈明表示,过去几年,360由于涉嫌上传用户隐私而遭受的指责众多,而目前其掌握的这一份视频证据,意味着360服务器涉嫌每时每刻都在上传大量用户的隐私数据,其中甚至包括极为敏感的金融证券系统的账户和密码!
为了证实陈明手中视频内容的真实性,《每日经济新闻》三地记者联动,通过各种渠道采访,并最终找到了A公司的期货大户华平平。
当A公司证实了视频内容的真实性后,马上意识到了事情的严重性,该公司新闻负责人坦言:他们也不理解这类机密信息会被360服务器收集的背后原因。
A公司一位内部人士透露,针对上述事件,A公司三地高层临时召开电话会议,试图应对这一次泄露事件可能导致的重大品牌危机,同时公司IT部门也在调查此事,并研究应对方案。
至此,360涉嫌窃取国内安全级别极高的证券金融行业用户隐私的证据,终于曝光于世。
这也意味着,通过360服务器的数据,任何人都可以潜入中国安全等级极高的一些证券系统后台,“替”大客户进行大额资金操作,甚至是资金转移。最为恐怖的是,整个过程神不知鬼不觉,这些证券大户们根本不知道,自己原来是在“裸奔”。
隐私信息“被现场直播”:三段视频浮出水面
陈明最初是通过网络方式向《每日经济新闻》记者提供了其通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,获取用户重要信息的相关证据。
根据陈明自述,此证据是其在2010年12月31日获取的,一共分为三个部分。
第一部分和第二部分显示:通过在线浏览360服务器upload.360safe.com,可以清晰地看到大量网民在2010年12月的上网浏览记录,包括在淘宝的浏览记录、订单操作过程,访问好友QQ空间,通过百度搜索哪些电影、下载什么播放软件等皆可被现场直播……
事实上,上述两段视频在2010年曾经一度热传过,但如今已被删得所剩无几。
最为关键的第三段视频则是首次曝光。视频显示,从360泄露的用户浏览日志文件中复制出某金融机构的网址及其访问请求参数,通过浏览器进入目标网页,便可获得证券期货市场大客户的绝密信息。
以已经被证实真实身份的华平平为例,通过视频可以清晰看到他的真实姓名、期货公司名称、账号、资金量、下单交易记录等,每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息被暴露无疑。
与陈明一样下载过360泄密信息的一位安全工作人员殷某也曾经有过这样意外的发现。2010年12月31日,其发布微博称:“我在#360#的帮助下完成了2010年的最后一次入侵检测或者说Hacking,利用#360#收集的用户行为日志中找到了#携程#某代理商的身份认证信息,成功进入该代理商的携程管理后台。不过俺没干坏事。你说这事儿我得通知谁呢?”
在《每日经济新闻》记者获得的360服务器外泄的数据中,还有其他几位受害人的机器码、所属期货公司ID等信息,这也意味着只要通过360服务器记录的这些外泄数据,任何人都可以轻易地侵入这些客户的资金账户,获得用户敏感信息。
(责任编辑:威展小王)