设为首页 繁体中文 用户登录
您现在的位置: 东部法制网 >> 文章中心 >> 法制 >> 正文
360存重大安全漏洞 账号密码或被泄
作者:佚名    文章来源:本站原创    点击数:    更新时间:2013/11/27         ★★★

360存重大安全漏洞 账号密码或被泄

 

1126日,乌云漏洞平台在微博上披露,有白帽子发现360账号系统存在“任意用户密码修改”漏洞,使用360账号保存过的电话、短信、记录以及云盘中的私人文件均有可能被被随意浏览下载。而此漏洞在20126月份已被网友爆出过,属于“设计缺陷/逻辑错误”,也就是说在设计之初完全可以避免。但不知为何,此漏洞一年内被爆出两次。了解消息后的网友纷纷表示出对360安全品质的不信任,若360不能给网民一个清楚的交代,很有可能引发新一轮360软件的卸载狂潮。

目前360已确认该漏洞存在,但作为互联网业的“安全教主”居然被爆出自身系统设计存在设计缺陷,引来不少用户评论。微博用户“老绵羊1984”质问到:“网民的隐私,安全谁来保证”,ID“运筹帷幄”表示“太可怕了”。还有网友调侃到:“@360技术支持,需要弹窗提示用户一下不???”

一直以来,360站在“用户安全和隐私”的道德制高点上,攻击其他互联网厂商。然而从日前所爆出的漏洞来看,完全可以在设计之初就避免,这让360所谓“捍卫用户隐私”的形象一夜之间成为皇帝的新衣。

同类漏洞连续被爆,专家建议尽快清除数据

在对360的相关漏洞历史略加调查后,一条记录引起了记者注意:就在一年前(2012年)的6月,360就曾在乌云网上被爆出类似漏洞,相关的漏洞题目、类型,竟然与本次所发现的惊人地相似!

 

 

20126月漏洞与201311月漏洞概要对比

究竟是东墙补好西墙又塌?还是360真的在同一问题上再次被曝?目前尚不得而知,在获知该漏洞的存在后,记者第一时间联系了从事安全领域的技术人员,他们分析认为,360通行证密码找回功能存在逻辑设计缺陷,重设密码url中存在可伪造的随机码。此随机码以Uunix时间戳为基准生成,但并未采用动态密匙加密,任何掌握此规律的人都可以据此破解“重设密码”的url,并修改任意账号的密码,从而直接进入用户账户,访问所有保存在360账户下的资料。这不仅包括可能导致“冠希化”的通讯录资料和短信往来记录,更包括用户的各种账号和对应的密码信息,进而为盗窃、诈骗等大开方便之门,形成恶劣的经济隐患,堪称“开门揖盗”。技术人员称,出于安全考虑,在问题解决之前,用户应至少清除所有保存在360账户中的历史资料,以避免造成隐私或财产的重大损害。

今天注册360,明天就变陈冠希

“揭露演艺圈荒淫乱象就靠360啦!!”在对360重大新漏洞的爆料中,网友以这样的口吻着实调侃了一番。俨然有“今天注册360,明天就变陈冠希”的意味。然而,360所存在的这一系统级漏洞,实际危害则远不止如此。

 

看上去360还有可能为反腐败提供“巨大”的帮助

 

在微博爆料中,网友笑称发现360高管都不用自家产品,乍一看莞尔,细想之下,却觉水比想象的要深。一家IT厂商的产品连续两年被爆出存在同种漏洞,不仅反映出技术实力“后腿”,更显示出态度上的淡漠——用户有什么,何必那么费心?如此运营,令用户寒心,同行齿冷,如乌云网官方就对360的此次“再爆漏洞”表示:“对于那些只想掩盖安全漏洞而不是真正解决安全漏洞的厂商来说,乌云君只能是深深的鄙视......

 

乌云漏洞报告平台评论

同时业内人士亦评论,长时间以来,360致力于打造出一种“我即安全”的形象,并通过占领道德高地,大量利用舆论攻讦竞争对手,颇得好处。然而子虚乌有的传闻毕竟难以服众,而货真价实的漏洞才真正说明问题。360将大量精力忙于刁难他人,自身问题却视而不见,这真的是一家安全厂商么?

 

 

 

 

文章录入:青山    责任编辑:jxpjxp 
发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
  • 上一篇文章:
  • 下一篇文章:
  •    网友评论:(评论内容只代表网友观点,与本站立场无关!
    数据载入中,请稍后……

     

    | 设为首页 | 加入收藏 | 总编信箱 | 友情链接 | 版权申明 | 网站公告 |

    copyright: 2012-2029 dbfazhi.com All Rights Reserved 黔ICP备19001903号-1