搜狗輸入法用戶隱私泄露一事引發(fā)廣泛擔憂。昨日,網絡上熱傳搜狗輸入法導致用戶敏感信息泄露,其中包括語音、照片、證件信息等。搜狗表示,系統(tǒng)本身并不存在漏洞,用戶信息泄露是由于搜索引擎的違規(guī)抓取。
泄密起因于“超級短信”
昨日,網絡上熱傳搜狗輸入法導致大量用戶敏感信息泄露,網友貼出包括語音、照片、證件信息在內的大量隱私內容。
國內知名安全組織烏云官方昨日表示,早在一個多月前就發(fā)現了搜狗輸入法存在的安全漏洞,反映后并未得到解決。“一方面收集用戶隱私數據,一方面卻又不能保護好用戶的數據,在漏洞被通知一個月后仍然存在并且被大量曝出,你們還相信云嗎?”烏云稱。
據新京報記者了解,此次泄密事件有關搜狗輸入法的一項“超級短信”功能,是一種基于網址的分享服務。比如發(fā)送一張照片,接收方如果已經安裝了該產品,他看到的就是照片;沒有安裝則會收到一個鏈接,訪問后可以打開照片。
據了解,用戶發(fā)送的音頻、照片、文檔等多媒體信息內容會被放在云端,由于經過robots保密協(xié)議,搜索引擎不可進行抓取。
搜狗否認系統(tǒng)存在漏洞
搜狗公司相關負責人解釋稱,google、百度、搜狗等搜索引擎均搜索不到保密用戶信息,只有微軟旗下搜索引擎必應可以顯示。“是必應違反了robots協(xié)議。并非搜狗系統(tǒng)存在漏洞。”
對于烏云的漏洞風險提醒,上述人士稱,確實接收過相關內容,但搜狗并不認為產品本身存在漏洞。
昨日本報記者試圖聯絡微軟方面,運營人員表示,并不負責該內容。截至發(fā)稿,記者未聯系到研發(fā)人員,微軟也未對此事表態(tài)。
一位云存儲業(yè)內專家表示,必應違反robots協(xié)議是導致用戶隱私泄露的直接原因,同時,搜狗公司對用戶信息的保護較弱也是因素之一。“robots協(xié)議是約定俗成的行業(yè)規(guī)定,作為搜索引擎,必應理應遵守。不過,搜狗對信息的保護措施也不夠。”
上述人士解釋說,搜索引擎爬蟲只能爬到公開信息,這說明,通過“超級短信”形成的鏈接是公開的。鏈接中包含的用戶信息是存放在公有網上,并不是ID認證加密的私人云上,誰都有可能訪問到。他認為,這一點搜狗至少之前應當明確告知用戶。
名詞解釋
robots協(xié)議 也稱爬蟲協(xié)議,網站通過robots協(xié)議告訴搜索引擎哪些頁面可以抓取,哪些頁面不能抓取。robots協(xié)議是國際互聯網界通行的道德規(guī)范,其目的是保護網站數據和敏感信息、確保用戶個人信息和隱私不被侵犯。
搜狗輸入法泄密路徑
安裝搜狗輸入法“超級短信”功能。
發(fā)送音頻、照片,接收方沒有安裝該產品,會收到一個鏈接,訪問后可以打開。
用戶發(fā)送的音頻、照片、文檔等多媒體信息內容會被放在云端。
微軟旗下搜索引擎必應抓取。(新華網)