近期,接到用户反馈,使用自己的QQ账户登陆搜狗浏览器,可以查看到大量其他用户的所有账号,包括银行、支付宝等涉及用户财产的账户信息,甚至可以直接进入其他人的银行、网购账号,进行转账或支付交易。专业安全技术论坛卡饭上,也有安全技术人员对此进行详细披露。
经360技术人员验证,搜狗浏览器的“智能填表”功能存在重大安全漏洞。用户在使用QQ账户登陆搜狗浏览器最新4.2版本后,搜狗浏览器会自动下载大量其他用户的用户名和密码信息。这些信息包含了用户的淘宝、微博、网易和QQ邮箱等所有账户,点击就可以顺利进入这些帐号。
经分析,这是搜狗浏览器将大量用户保存的账户密码以及收藏夹等信息,同步到了其他人电脑上。
据微博网友反馈,搜狗浏览器“智能填表”已导致大量用户账号可被他人登录,涉及各大购物网站、电子邮件、公共服务网站、企业管理后台等重要账号,以下为部分反馈实例:
苹果商城账号:http://weibo.com/3803198634/AhiY98OHm
网易邮箱账号:http://weibo.com/3802933833/AhilN2EUm
网易彩票账号:http://weibo.com/3802020963/AhiU4uAn5
人人网账号:http://weibo.com/3805571439/AhiG95iXQ
小米账号:http://weibo.com/2813443412/AhiB4nAhm
淘宝账号:http://weibo.com/3805569521/Ahit34WwQ
公积金账户:http://weibo.com/3805571439/Ahi8GoYoi
广东省公务员考试录用管理信息系统账户:http://weibo.com/3803190611/AhkFN1DRl
聚美优品账号:http://weibo.com/3805904535/Ahkzcmqbd
当当网账号:http://weibo.com/3803202195/AhkrbC11L
QQ邮箱账号:http://weibo.com/3805897473/Ahkgscdpr
携程账号:http://weibo.com/3805889677/AhkbvayiS
学信档案账号:http://weibo.com/3803195398/Ahk7z6rmJ
某色情网站VIP账号:http://weibo.com/3803182376/AhjrVnsxp
由于搜狗的重大安全漏洞非常容易重现,任何用户都可以根据网络上已经公开的情况进行验证。这样,数千万用户的核心账户直接会被登陆,可能造成大量用户的隐私被泄露,财产受损失。
鉴于此漏洞涉及用户数量庞大,危害性极强,属于互联网上重大安全事件。360已经紧急通知国家互联网应急中心(CNCERT)和搜狗公司。
强烈建议用户:
1、所有曾经使用搜狗浏览器登陆过的账户密码全部需要修改,尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。
2、在搜狗浏览器修复漏洞之前,暂停使用该浏览器,换用其他浏览器。
更换其他浏览器:
搜狗回应浏览器漏洞:独立发展让某些对手如鲠在喉
【TechWeb报道】11月5日消息,今日,有消息称,据网友透露使用QQ账号登录搜狗浏览器,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,或者直接进行支付交易。
为此,搜狗公司发布致用户书作出回应,称搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象。搜狗坚持走独立发展的道路后,发展势头强劲,这让某些竞争对手如鲠在喉。
以下为回应原文:
捍卫用户利益及互联网精神 搜狗致用户书
11月5日,我们在微博上发现有账号称“搜狗浏览器存重大安全漏洞 大量用户隐私被泄露”。 对此,搜狗浏览器技术团队第一时间进行了查证,确认并不存在此类现象。
一直以来,搜狗致力于为用户提供安全可靠的产品和服务,并严格保护用户隐私,请广大用户放心使用。
搜狗坚持走独立发展的道路后,发展势头强劲,这让某些竞争对手如鲠在喉。在此我们呼吁:不要以绑架用户的名义、欺骗和恐吓用户的手段,屡次发起不正当竞争!
对此,搜狗将不放弃包括法律在内的各种途径,以坚决捍卫互联网的开放、自由精神,维护广大用户之最终权益。
搜狗公司
2013.11.05
文章点评