這是一個令人驚駭?shù)膯栴}，A公司新聞發(fā)言人當即堅稱，公司證券期貨系統(tǒng)是國內(nèi)最為規(guī)范而嚴格的系統(tǒng)，絕無可能被侵入。但告訴上述新聞發(fā)言人，《每日經(jīng)濟新聞》手中握有A公司客戶使用360軟件導(dǎo)致其在中國期貨保證金監(jiān)控中心系統(tǒng)絕密信息外泄的視頻證據(jù)。

　　該新聞發(fā)言人聽聞此事，并根據(jù)《每日經(jīng)濟新聞》提供的視頻證據(jù)信息進行內(nèi)部核查，最終證實了該視頻信息的準確性。很快，該消息通過A公司傳到該公司旗下的期貨大客戶被泄露賬戶密碼等私密信息的受害客戶華平平那里，其當場表示：令人震驚。

　　突如其來的泄密：期貨大戶隱私信息“裸奔”

　　事情起源于今年3月初，《每日經(jīng)濟新聞》接到爆料，一位自稱陳明的網(wǎng)友稱其手中有一個絕密視頻，內(nèi)容是其通過360服務(wù)器外泄數(shù)據(jù)而意外“進入”中國期貨保證金監(jiān)控中心系統(tǒng)，進而獲得用戶期貨交易等相關(guān)隱私信息。

　　陳明告訴，2月26日，其從網(wǎng)上閱讀了《每日經(jīng)濟新聞》獨家的《360黑匣子之謎奇虎360“癌”性基因大揭秘》，對其中揭露的360涉嫌存在竊取用戶隱私，并為了商業(yè)利益通過在“360安全衛(wèi)士”“360安全瀏覽器”中植入“后門”與360云端配合，粗暴侵犯網(wǎng)民隱私權(quán)、知情權(quán)，破壞行業(yè)規(guī)則和秩序的問題“感到震驚”，并表示贊同。

　　事實上，陳明只是眾多爆料人中的一位。自《每日經(jīng)濟新聞》刊發(fā)上述之后，大量用戶、受害者、技術(shù)愛好者均通過各種渠道，向提供了各類360涉嫌“作惡”的證據(jù)。

　　陳明表示，過去幾年，360由于涉嫌上傳用戶隱私而遭受的指責眾多。而目前其掌握的這一份視頻證據(jù)，意味著360服務(wù)器涉嫌每時每刻都在上傳大量用戶的隱私數(shù)據(jù)，其中甚至包括極為敏感的金融證券系統(tǒng)的賬戶和密碼！

　　為了證實陳明手中視頻內(nèi)容的真實性，《每日經(jīng)濟新聞》三地聯(lián)動，通過各種渠道采訪，并最終找到了A公司的期貨大戶華平平。

　　當A公司證實了視頻內(nèi)容的真實性后，馬上意識到了事情的嚴重性，該公司新聞負責人坦言：他們也不理解這類機密信息會被360服務(wù)器收集的背后原因。

　　A公司一位內(nèi)部人士透露，針對上述事件，A公司三地高層臨時召開電話會議，試圖應(yīng)對這一次泄露事件可能導(dǎo)致的重大品牌危機，同時公司IT部門也在調(diào)查此事，并研究應(yīng)對方案。

　　至此，360涉嫌竊取國內(nèi)安全級別極高的證券金融行業(yè)用戶隱私的證據(jù)，終于曝光于世。這也意味著，通過360服務(wù)器的數(shù)據(jù)，任何人都可以潛入中國安全等級極高的一些證券系統(tǒng)后臺，“替”大客戶進行大額資金操作，甚至是資金轉(zhuǎn)移。最為恐怖的是，整個過程神不知鬼不覺，這些證券大戶們根本不知道，自己原來是在“裸奔”。

　　隱私信息“被現(xiàn)場直播”：三段視頻浮出水面

　　陳明最初是通過網(wǎng)絡(luò)方式向《每日經(jīng)濟新聞》提供了其通過360服務(wù)器外泄數(shù)據(jù)而意外“進入”中國期貨保證金監(jiān)控中心系統(tǒng)，獲取用戶重要信息的相關(guān)證據(jù)。

　　根據(jù)陳明自述，此證據(jù)是其在2010年12月31日獲取的，一共分為三個部分。

　　第一部分和第二部分（這兩部分已合并為“視頻1”，可直接掃描“二維碼1”觀看；或訂閱每日經(jīng)濟新聞官方微信號2202419768，回復(fù)“視頻1”觀看）顯示，通過在線瀏覽360服務(wù)器upload.360safe.com，可以清晰地看到大量網(wǎng)民在2010年12月的上網(wǎng)瀏覽記錄，包括在淘寶的瀏覽記錄、訂單操作過程，訪問好友QQ空間，通過百度搜索哪些電影、下載什么播放軟件等皆可被現(xiàn)場直播……

　　事實上，上述兩段視頻在2010年曾經(jīng)一度熱傳過，但如今已被刪得所剩無幾。

　　最為關(guān)鍵的第三段視頻 （掃描“二維碼2”觀看“視頻2”；或訂閱每日經(jīng)濟新聞官方微信號2202419768，回復(fù)“視頻2”觀看）則是首次曝光，視頻顯示，從360泄露的用戶瀏覽日志文件中復(fù)制出某金融機構(gòu)的網(wǎng)址及其訪問請求參數(shù)，通過瀏覽器進入目標網(wǎng)頁，便可獲得證券期貨市場大客戶的絕密信息。

　　以已經(jīng)被證實真實身份的華平平為例，通過視頻可以清晰看到他的真實姓名、期貨公司名稱、賬號、資金量、下單交易記錄等，每一次詳細操作的記錄、出入金明細、成交匯總、持倉匯總以及客戶期貨結(jié)算的賬戶等敏感信息被暴露無疑。

　　與陳明一樣下載過360泄密信息的一位安全工作人員殷某也曾經(jīng)有過這樣意外的發(fā)現(xiàn)。2010年12月31日，其發(fā)布微博稱，“我在#360#的幫助下完成了2010年的最后一次入侵檢測或者說Hacking，利用#360#收集的用戶行為日志中找到了#攜程#某代理商的身份認證信息，成功進入該代理商的攜程管理后臺。不過俺沒干壞事。你說這事兒我得通知誰呢？”

　　在《每日經(jīng)濟新聞》獲得的360服務(wù)器外泄的數(shù)據(jù)中，還有其他幾位受害人的機器碼、所屬期貨公司ID等信息，這也意味著只要通過360服務(wù)器記錄的這些外泄數(shù)據(jù)，任何人都可以輕易地侵入這些客戶的資金賬戶，獲得用戶敏感信息。

　　這些翔實的視頻證據(jù)，意味著360不僅涉嫌上傳用戶網(wǎng)址，而且存在刻意收集用戶賬戶和密碼的嫌疑。如果不是陳明將上述視頻曝光，以及《每日經(jīng)濟新聞》的聯(lián)系求證，這些帶有用戶隱私數(shù)據(jù)的重要信息或許一直會神不知鬼不覺地保存在360服務(wù)器，而被入侵的A公司和華平平等用戶本人至今或許還蒙在鼓里。

　　在稿件操作過程中，基于私人信息保密的需要，華平平婉拒了《每日經(jīng)濟新聞》的采訪請求。

　　360隔空取物?借助系列產(chǎn)品窺“孤島”

　　在長期關(guān)注信息安全漏洞相關(guān)問題的烏云漏洞報告平臺上，曾有專業(yè)人士披露過很多關(guān)于搜索引擎和云相關(guān)的安全問題報告。烏云漏洞報告平臺負責人認為，期貨、股票的操作信息與賬號等隱私信息是互聯(lián)網(wǎng)上最機密的部分，在任何情況下，被第三方抓取或獲得的可能性都幾乎可以忽略不計，但為什么某些特殊搜索引擎如360卻可以獲得呢？

　　該負責人指出，金融無疑是全球安全級別最高的行業(yè)之一，該體系完全是一個閉環(huán)，它們就像完全意義上的密封“孤島”，外人一般只能在外圍“轉(zhuǎn)悠”，很難進入到系統(tǒng)內(nèi)部，也就是說，傳統(tǒng)的搜索引擎從外部根本無法抓取到這些 “孤島”的信息，除非借助用戶需要使用的某些強大客戶端如瀏覽器，搜索引擎才可以直接抓取用戶終端上的訪問記錄和數(shù)據(jù)。

　　對于360能夠蹊蹺獲得這些機密信息的原因，微博名人、程序員“獨立調(diào)查員”解釋說，不管證券行業(yè)安全級別有多高，體系是多么繁瑣可靠，只要用戶上網(wǎng)的入口產(chǎn)品是360系列，或者安裝了360的網(wǎng)絡(luò)安全產(chǎn)品，這些“孤島”或者隱私信息，都存在被上傳到360服務(wù)器的可能性。

　　獨立調(diào)查員否定了這是通過360后門機制來截取的可能性。他分析說，360安全衛(wèi)士攔截并上傳用戶瀏覽行為的技術(shù)手段，與網(wǎng)絡(luò)工程師常用的網(wǎng)絡(luò)抓包分析工具類似。不同的是，360安全衛(wèi)士只需要實時攔截并分析HTTP協(xié)議數(shù)據(jù)包，從中提取用戶訪問的目標網(wǎng)址，其攔截過程與結(jié)果對用戶來說都不可見，這并非360安全衛(wèi)士的后門，而是其固有功能，但此功能對用戶而言是個黑匣子，這個黑匣子對用戶隱私安全形成理論上的可能威脅。

　　獨立調(diào)查員感慨道，對于360上傳這些商業(yè)機密數(shù)據(jù)的情況，目前外界還知之甚少。不過可以想象的是，一旦360服務(wù)器被黑客攻克，或者這些數(shù)據(jù)被360泄露或濫用，對中國網(wǎng)絡(luò)和經(jīng)濟安全可能是災(zāi)難性的。

　　據(jù)陳明回憶說，上述隱私素材均為當年從upload.360safe.com網(wǎng)站下載所取。

　　2010年12月30日6時38分，百度貼吧上一位名為“愛wu痕”網(wǎng)友發(fā)布了一條信息：看看這里面360都搜集了什么啊？這條信息后面附上了一個360存儲收集用戶信息的下載地址。

　　“上述公開鏈接被谷歌搜索爬蟲抓取后，進入谷歌網(wǎng)頁庫，被網(wǎng)友搜索到，大公開。”陳明表示，他也在第一時間按照上述鏈接網(wǎng)址下載了相關(guān)的數(shù)據(jù)。

　　此后，更多的專業(yè)人士加入了下載、分析的行列，甚至他們在安全論壇“kafan”討論此事。很快，360員工發(fā)現(xiàn)了服務(wù)器信息泄露的事實，隨后在當天10時30分左右關(guān)閉了upload.360safe.com/url_files/目錄瀏覽權(quán)限，12時30分左右移除了此文件目錄。

　　360服務(wù)器記錄的內(nèi)容，為何會被谷歌抓取泄露？這可能是眾多人看到這些被泄露在外的信息時的最大疑問。

　　“當時，360在第一時間對外表示，其服務(wù)器外泄用戶隱私的真相，是360一臺服務(wù)器遭黑客攻擊，導(dǎo)致少量數(shù)據(jù)外泄，被谷歌搜索引擎抓取。”但在陳明看來，“此次360服務(wù)器用戶隱私的數(shù)據(jù)泄密更有可能的原因是目錄權(quán)限沒配置好，而不是遭遇黑客攻擊。黑客攻擊獲取到用戶隱私數(shù)據(jù)后應(yīng)該是直接使用以謀利，怎么會通過貼吧論壇的方式無償對外公開呢？”

　　據(jù)《每日經(jīng)濟新聞》了解，根據(jù)搜索引擎爬蟲（一種自動獲取網(wǎng)頁內(nèi)容的程序）原理，那些未被公開網(wǎng)址的目錄或文件，網(wǎng)絡(luò)訪問者（包括網(wǎng)民和搜索引擎爬蟲）是無法瀏覽或抓取的，而一旦網(wǎng)址被公開，搜索引擎爬蟲再次光臨該網(wǎng)站時，就能順藤摸瓜地抓取到那些目錄或文件。

　　這正是360服務(wù)器隱私數(shù)據(jù)鏈接被張貼在百度貼吧后很快被谷歌搜索引擎爬蟲抓取、并被網(wǎng)民搜索到的原因，否則那些隱私數(shù)據(jù)即使出現(xiàn)權(quán)限控制問題，也是一個信息“孤島”，爬蟲照樣觸不可及。

　　獨立調(diào)查員進一步指出，360已經(jīng)建立了一套“孤島”信息收集機制，其抓取的部分信息會直接在360搜索引擎上展現(xiàn)，而更多更隱私的內(nèi)容或許會永遠躺在360服務(wù)器中，直到被挖掘利用、或被泄露。

　　一個可以借鑒的真實故事是：去年9月，百度工程師針對360搜索展開的“鬼節(jié)捉鬼”實驗已經(jīng)證明：只要使用360瀏覽器訪問“孤島”頁面，360服務(wù)器很快就能抓取這些頁面內(nèi)容，并完全在360搜索中展現(xiàn)出來。

　　隨后一個月，百度某高管在一次面向全國100家媒體開放日的非正式會議上，現(xiàn)場演示了一個360搜索引擎抓取手機用戶支付結(jié)果頁面的截圖。這些頁面與支付寶付款結(jié)果頁面類似，上面也有用戶姓名、手機號等敏感信息。根據(jù)360搜索頁面結(jié)果（見圖片1），“http://buy.#/umpay/cot/app-proxy.html?od=MjAwMDEyMzIxNzM3LDQ1LDlMzNiNGQ1NjJjYTljY2RlZTAxOThiZDYxMzZjNDY2&op=sh”這么復(fù)雜的鏈接，爬蟲是如何發(fā)現(xiàn)的？它的出處在哪里？為何搜索結(jié)果的數(shù)量有39萬之多？為什么直接點擊無法訪問？360此舉動引發(fā)了相關(guān)政府部門的介入。

　?。ǔ鲇谌松戆踩紤]，本稿件署名均為化名）

　　觀點

　　360被指侵門踏戶 逾越安全邊界

　　此前360方面曾公開對外表示，安全軟件上傳網(wǎng)址監(jiān)測是行業(yè)慣例，帶有用戶名和密碼的網(wǎng)址記錄是由網(wǎng)站登錄機制造成的，并非安全軟件有意上傳。

　　而獨立調(diào)查員認為，這是360為自己侵犯用戶隱私的行為所找的借口。在他看來，所謂云安全只是輔助機制，安全軟件應(yīng)盡可能排除可信的主流網(wǎng)站 （所有網(wǎng)銀、政府網(wǎng)站，以及主流門戶、新聞門戶、社交門戶、搜索門戶等），而不是收集并上傳所有網(wǎng)址；且在上傳網(wǎng)址時，應(yīng)排除網(wǎng)址中的訪問請求參數(shù)等個人信息（網(wǎng)址中問號后接的全部子串）。另外，360即便要上傳網(wǎng)址，也沒有必要將其長期保留在其私有服務(wù)器內(nèi)。安全廠商在驗證其上傳的網(wǎng)址、確認是安全網(wǎng)址后，即應(yīng)在做必要統(tǒng)計后廢棄，更沒理由與用戶機器唯一識別碼成對地存儲在服務(wù)器上。否則，這款軟件究竟是安全軟件還是間諜軟件？是為了用戶還是為了監(jiān)視用戶？他認為有充分理由對這些問題打一個很大的問號。

　　“360明知大量訪問請求參數(shù)屬于用戶，而不屬于訪問目標網(wǎng)站。任何安全軟件必須假設(shè)并接受"用戶本人無惡意"，這是對用戶最起碼的尊重，除非其目的是監(jiān)控用戶而非監(jiān)控網(wǎng)站。云安全軟件可以在明確告知并取得用戶同意的前提下，上傳瀏覽網(wǎng)址的非用戶參數(shù)部分，以分析和阻止可能的惡意網(wǎng)址，且不得記錄用戶機器識別信息。這是最基本的隱私保護原則，而360安全衛(wèi)士完全不符合此原則要求，罔顧用戶隱私權(quán)以及由此衍生的財產(chǎn)權(quán)等個人權(quán)益?！?/p>

　　“至于用戶所訪問網(wǎng)站的技術(shù)實現(xiàn)方式、安全等級等，與360公司有什么關(guān)系呢？退一步講，即使目標網(wǎng)站允許直接訪問此類絕密信息，也不是360就可以做的。”獨立調(diào)查員進一步分析說，“更為嚴重的問題在于，金融、證券方面的信息，在互聯(lián)網(wǎng)上是與國家安全、軍事等同等重要的禁區(qū)，屬于高壓線的范疇，互聯(lián)網(wǎng)安全企業(yè)理應(yīng)自覺回避，但360竟然毫不避嫌全面收集、形同監(jiān)視，我無法理解其真實動機。這才是此事件最為嚴重的焦點?！?/p>

　　一個不容忽視的細節(jié)是：360服務(wù)器如今還有沒有這些用戶隱私？這些被360非法獲取的用戶機密數(shù)據(jù)是否曾被濫用，至今這依然是個待解的黑匣子之謎。