2010 年 360 盗取用户密码事件始末

2010 年最后一天,普通用户可以在 google 网站上搜索指定关键字,可以搜索到大量中国互联网用户使用互联网的隐私记录,甚至包括用户登陆网站或邮箱的用户名、密码等。

事件概述

12 月 31 日,金山召开发布会,称“360 侵犯用户隐私”,随后发布“一级安全预警”,称“上亿用户名和密码外泄”。

金山网络在事件发生后,通过新闻发布会发布了多张隐私记录截图,金山宣称 3 亿网民面临隐私信息被窃取的风险,并发布安全预警。

泄漏内容

  • A. 定位到单个用户,该用户访问互联网的详细访问记录。360 软件会把用户访问的网址和 360 云安全中心的恶意网址库进行比对,以鉴别和拦截挂马、钓鱼、欺诈等恶意网页。针对单个用户的标识码 MID 是通过不可逆的随机算法生成的一个随机字符串,不可能反向推导出用户电脑的任何信息,因此并不涉及用户隐私信息。
  • B. 该用户登陆网站、邮箱、QQ 空间,少数网站在用户登录时,会将用户名和密码直接编写在 URL 网址中,传送给服务器进行身份验证。而 360 网盾和其它国内外安全软件一样,只查询 URL 网址,而不会主动去识别其中的用户名和密码。
  • C. 该用户进行的搜索行为的关键字信息,当用户使用多标签浏览器同时打开多个网页时,由于在同一个浏览器进程中打开了多个网页,360 网盾会将用户同时打开的多个网址 URL 一起上报至服务器,由服务器进一步甄别出其中的恶意网页。包括用户使用搜索引擎时,URL 中附带的搜索关键词。对于鉴别出的正常的网页,其 URL 网址记录会自动从日志文件中删除。
  • D. 用户访问和使用企业内网的登陆账号、密码,访问动作等,黑客 / 木马程序可能会构造 SQL 语句并加在 URL 中对网站数据库发起攻击,这种攻击请求会被 360 网盾截获,因此在日志数据中会看到极少量的 SQL 语句。

泄漏危害

经过 360 对网址云安全查询日志的统计,发现带有用户名和密码的数据的确保存在了 360 的服务器上。通过访问 Google 的确可以访问到这部分数据。GOOGLE 已经将这些数据删除。 但是,由于该服务器可在互联网上直接访问,因而可能所有被上传的用户数据都已经被各类黑客、电脑爱好者、潜在的破坏者下载。因此,实际造成了不可估量的损失。使用 360 软件的用户应当及时更换密码。

防范措施

完全阻止隐私泄密是一件非常困难的事。使用防病毒软件,可以有效阻止隐私外泄。此外,不能轻易相信某个厂家的产品。通常,收费软件由于有合同约束,安全性较高。盗版的通常面临更大的风险。

360 回应

1、导致此次事件的原因,是因为 360 存储网址云安全查询日志的一台内部服务器遭到了攻击,使得原本无法被搜索引擎抓取的日志数据被 Google 的蜘蛛抓取到了少量数据。经与 Google 搜索结果核对,我们发现一部分能在 Google 中搜索到,一部分在 Google 中搜索不到。我们正在调查,金山公司是通过何种途径得到放在 360 服务器上的恶意网页拦截日志的。

2、所谓“收集隐私”只是正常功能。上传可疑网址信息是安全软件的通用技术,很多安全软件都有类似功能。可笑的是,金山自己的软件金山网盾也会在用户访问可疑网址后上传网页浏览记录。安全软件在发现用户浏览器受到恶意代码攻击时,会将可疑恶意网址上传到服务器进行自动分析,然后把鉴定出来的挂马网址加入恶意网址库,这是安全行业通用的做法,除了金山和 360 外,诺顿、趋势等也都有类似的机制。

来源:百度百科:360 泄密事件

原文地址:https://www.cnblogs.com/wizardforcel/p/8457766.html

时间: 2024-10-10 06:38:39

2010 年 360 盗取用户密码事件始末的相关文章

疑似网易泄露用户密码事件浅析

事件概述 2015年10月19日下午,乌云漏洞报告平台宣布接到一起惊人的数据泄密报告,网易的用户数据库疑似泄露,影响到网易163/126邮箱过亿数据,泄露信息包括用户名.密码MD5值.密码密保信息MD5值.登陆IP地址以及用户生日等,解开后测试大部分邮箱依旧还可登陆. 乌云建议用户登陆reg.163.com用户中心,在风险提示处查询近一个月的异常登录记录,以及异地登陆提醒邮件.如有异常,需尽快修改密码,改密码的同时也将密码提示答案进行更新修改,同时开启邮箱的安全防护功能. 另外,对于已被破解的网

Exchange Server 2010下,检测用户密码到期通知提醒脚本

############################################ #Author:wangtingdong #Email:[email protected] #For:检测AD密码过期时间并邮件通知 #Version:1.0 ############################################## Import-Module Activedirectory #@1和@2选择一个执行 #@1检索出指定OU里不包含设置了永不过期及禁用的账户 #$allad

从12306帐号泄漏谈用户密码安全

新闻回顾 12月25日圣诞节,据漏洞反馈平台乌云网显示,大量12306用户数据在互联网疯传.本次泄露的用户数据包括用户帐号.明文密码.身份证.邮箱等. 随后,12306官方发表公告,称经过认真核查,此泄露信息全部含有用户的明文密码.12306网站数据库所有用户密码均为非明文转换码,网上泄露的用户信息系经其他网站或渠道流出. 12月26日,中国铁路官方微博发消息,铁路公安机关将涉嫌窃取并泄露12306网站电子信息的两名犯罪嫌疑人抓获,并指出此次用户信息泄漏事件是犯罪嫌疑人"撞库"来完成信

谈谈360浏览器保存密码的差异

多事之夏,最近黑阔大牛们经常光顾我们网站,不甚荣幸,也让我们老大没少加班.上指纹系统,开safe_mode,重新编译PHP等等,安全警戒一度提到最高. 在用户登录方面,为了用户密码安全,我们在用户输完密码点击提交后,js自动给密码加上MD5,然后再传输到服务器.这样即使密码被嗅探到了,也是加密后的密码. 先看代码: 1 <script> 2 functionMD5(){ 3 //MD5加密算法,细节省略 4 } 5 6 functioncheck(){ 7 //提交前将用户的密码用MD5加密

用户密码加密存储十问十答,一文说透密码安全存储

我们数据库的权限管理十分严格,敏感信息开发工程师都看不到,密码明文存储不行吗? 不行.存储在数据库的数据面临很多威胁,有应用程序层面.数据库层面的.操作系统层面的.机房层面的.员工层面的,想做到百分百不被黑客窃取,非常困难. 如果密码是加密之后再存储,那么即便被拖库,黑客也难以获取用户的明文密码.可以说,密码加密存储是用户账户系统的底裤,它的重要性,相当于你独自出远门时缝在内衣里钱,虽然你用到他们的概率不大,但关键时刻他们能救命. 那用加密算法比如AES,把密码加密下再存,需要明文的时候我再解密

Oracle用户密码过期问题解决

一.用户密码即将过期,导致autotrace无法打开           如果用户密码即将过期,在登录数据库时会收到如下提示:           ERROR:            ORA-28002: the password will expire within 7 days           当然,此时密码还未真正过期,用户在收到错误提示后依然可以登录数据库.但是,如果当收到密码即将过期的提示,想要开启autotrace就会有问题. SQL> conn darren/darren ER

mysql关于用户密码的设置( 修改、重置、找回)

1.登录mysql 1.1单实例登录 1) mysql     刚装完mysql无密码情况下登录 2) mysql–u root   刚装完mysql无密码情况下登录 3) mysql–u root –p   标准的dba登录 3) mysql–u root –p '密码'  无交互登录.一般不用,容易泄漏密码 登录成功后 提示:mysql> 1.2 多实例登录 mysql –u root –S 指定mysql.sock文件的位置 提示:和单实例唯一的区别是多实例需要指定mysql.sock的位

通过JAVA开发的修改AD用户的工具,修改AD用户密码时报错

今天遇到1个用户反馈的问题,他们通过JAVA开发了一个工具(修改AD用户密码),在此工具中如果将LDAP指向1台辅助DC时就报错,详细信息如下: 问题描述: ========= 通过JAVA开发的修改AD用户密码的工具,LDAP指向1台辅助域控时,修改用户密码报错,JAVA上报错如下: javax.naming.CommunicationException: simple bind failed: 10.10.10.23:636 [Root exception is javax.net.ssl.

对用户密码进行加盐处理(转)

对用户密码进行加盐处理 按:以下还是炒冷饭,如果您对加盐了解就不用往下看了,以免浪费宝贵时间. 如果不了解下文部分细节的话,您可以参考这篇文章:使用MD5对存放在数据库中用户密码进行保护 直接对重要数据进行MD5处理后,反向解密确实难度很大,但还是可以找出破绽的,请看下图: 如果名为李自成的用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,别人用的和自己就是同一个密码,这样,就可以利用别人的身份登录了. 那么我们以前的加密方法是否对这种行为失效了呢?其实只要稍