因发现搜狗浏览器存在漏洞,涉及支付宝、银行账户等重要信息,作为安全软件厂商的360公司本着自身责任意识,及时将险情提示广大用户,以免用户们遭受损失;但是,此举却招来了官司。11月17日,北京知识产权法院终审落判,认定搜狗浏览器在案发时,存在泄露用户信息的内容属实,360公司提供的相关证据有效。
360率先发现漏洞引各方验证
据悉,此案缘于2013年11月,360公司发现搜狗浏览器存在漏洞,关系到用户支付宝、银行账户等重要信息,影响重大。第一时间,360公司就将该漏洞通知了国家互联网应急中心和搜狗公司,并未大范围扩散。在收到通知后,搜狗方坚决否认漏洞的存在,在这种情况下,360公司为避免用户损失,只能采取弹窗的方式提示用户修改密码。
在此期间,知名漏洞报告平台“乌云”上,也有提交者报告了该漏洞的情况。11月6日,央视新闻频道报道,经央视记者验证,在一台只有基本应用程序的电脑中下载安装搜狗浏览器,点击搜狗浏览器的账号登录系统,使用QQ账号和密码进行注册和登陆,随后退出该系统,在工具栏里点击“智能填表”,再选择管理表单数据,网页上就会弹出一个表单,显示淘宝、QQ邮箱、公积金、12306火车订票系统等,继续点击,就出现了账号密码等信息。
以上消息发布后,立即引发业界哗然,许多网民纷纷在微博上反映该问题,还上传了电脑截图证据。随后,新华社、东方卫视、北京卫视、湖南卫视等国内近百家媒体也陆续跟进报道了搜狗漏洞事件。湖南卫视更采访了搜狗浏览器用户,证实其电脑上存有数以千计搜狗泄露的账号信息。
图1:乌云平台上有关搜狗漏洞的信息
图2:央视有关搜狗漏洞的报道
搜狗反咬一口遭法院打脸
面对各方证据越来越多,搜狗公司没有将精力用在处置漏洞,亡羊补牢上,而是始终拒绝漏洞的存在,掩盖事实,并指责360公司捏造、散布谣言。
对于搜狗的行为,360公司及时用专题、弹窗等形式给予用户提示,为的是尽可能多地让用户们了解此事;但是,在赢得用户赞誉的同时,也招来了搜狗的疯狂报复。
搜狗不但在毫无事实依据的情况下,宣称搜狗浏览器所谓漏洞事件是由360精心策划、幕后操纵并动用水军、枪手进行转发、散播,发布“360心怀鬼胎,第一时间忙着攻击对手”等不实言论,且恶人先告状,反将360诉到法院。
11月17日,北京知识产权法院对“360提示搜狗浏览器出现漏洞案”二审宣判,认定搜狗浏览器在案发时,存在泄露用户信息的内容属实,360公司提供的相关证据有效。
二审判决认为,360提交的公证书显示,通过相关步骤,操作者可以获得该搜狗浏览器所登录过网站的网址、用户名和密码,可以证明该版本的搜狗浏览器在使用中存在泄漏用户信息的事实。
与此同时,奇虎公司提交的多份证据显示,在众多网站、媒体的文章和报道中,亦对于搜狗浏览器存在泄漏用户信息的事实进行了报道和说明,并附有相关的截屏和录像,足以印证上述公证书所记载的事实存在。
“360公司作为网络安全企业,确实有能力对相关泄露用户信息的软件进行技术研判,并对其所认为的技术风险用自身软件设置防护功能。”二审判决书的认定,让硬撑两年的搜狗公司被狠狠打了脸,同时也为360公司正了名。
无独有偶,在360因同一事件起诉搜狗的另一起官司中,一审、二审法院均认为,搜狗断言搜狗浏览器所谓漏洞事件是360幕后操纵的行为不符合客观实际,属于故意捏造和散布虚伪事实,构成商业诋毁,判决搜狗败诉,同样印证了搜狗浏览器事件的真相。
搜狗一波未平一波又起
其实,不仅搜狗浏览器存在漏洞,搜狗输入法也存在漏洞,并可能导致大量用户的图片、语音、短信等私密信息遭泄露并在网上公开流传的情况。早在2014年6月,乌云平台曾进行过曝光。近期,McAfee实验室也跟进予以了证实。但是,搜狗输入法方面一如既往,未进行任何修复以及提供任何正面回应。
图3:McAfee实验室爆料称搜狗输入法收集用户信息
业内人士认为,作为知名互联网企业,搜狗没有牢固树立安全意识,置用户上网安全于不顾。面对权威安全机构的漏洞通知,采用回避的态度,这是对用户信任的消磨。在竞争如此激烈的互联网行业,无视用户权益最终只能让用户“用脚投票”。