針對(duì)烏云漏洞報(bào)告平臺(tái)所披露的漏洞,搜狗方面怎么看?記者就此致電搜狗��,搜狗相關(guān)負(fù)責(zé)人表示�����,搜狗發(fā)布的官方聲明即為對(duì)此事的官方回復(fù)(搜狗產(chǎn)品沒(méi)有漏洞�����,也不會(huì)泄露用戶隱私)�����。而對(duì)記者所關(guān)心的烏云漏洞報(bào)告平臺(tái)所披露的那個(gè)漏洞����,搜狗方面避而不談。
就此問(wèn)題�����,記者對(duì)安全界有關(guān)專(zhuān)家進(jìn)行了采訪�。得到的普遍回答是:搜狗泄密事件,本質(zhì)上還是輸入法服務(wù)商沒(méi)有對(duì)用戶采取有效的安全防護(hù)措施所致���,與搜索引擎并無(wú)太大關(guān)系���。一位數(shù)據(jù)安全專(zhuān)家表示,退一步說(shuō)��,就算搜索引擎不遵守搜索協(xié)定�,作為服務(wù)商也不能將信息安全簡(jiǎn)單地寄望于第三方遵守規(guī)則的基礎(chǔ)上。如果照這樣假設(shè)�,世界上就不會(huì)有黑客和犯罪分子存在,也就沒(méi)有信息安全產(chǎn)業(yè)存在的必要�。
通過(guò)輸入法泄露隱私,這在技術(shù)上是如何實(shí)現(xiàn)的?烏云漏洞報(bào)告平臺(tái)公開(kāi)信息顯示��,搜狗輸入法信息在發(fā)送過(guò)程存儲(chǔ)了相對(duì)應(yīng)的信息在云端�����,但由于相應(yīng)配置及其他原因造成了會(huì)話信息(圖片、視頻���、音頻)泄露���,由于不嚴(yán)謹(jǐn)造成信息被搜索引擎抓取。數(shù)據(jù)安全廠商北京明朝萬(wàn)達(dá)科技有限公司董事長(zhǎng)王志海告訴記者��,從數(shù)據(jù)保護(hù)的角度說(shuō)�,數(shù)據(jù)在存入云端之前是應(yīng)該被加密的。類(lèi)似搜狗這次的泄密�����,從技術(shù)上講比較簡(jiǎn)單���,如果采用明文方式將數(shù)據(jù)存儲(chǔ)在云中�,在公開(kāi)網(wǎng)站上就可能會(huì)很容易被搜索到�。另外�����,即便被加密的數(shù)據(jù)被破解了,如果做好了訪問(wèn)控制���,也能對(duì)訪問(wèn)數(shù)據(jù)的人員進(jìn)行控制���,不該看到數(shù)據(jù)的人也看不到。對(duì)于互聯(lián)網(wǎng)服務(wù)提供商而言�,要保護(hù)用戶隱私,技術(shù)上并不難實(shí)現(xiàn)����,身份驗(yàn)證、后臺(tái)狀態(tài)的維持�,這些都是比較成熟的通用技術(shù)。出現(xiàn)此類(lèi)泄密事件���,根源是對(duì)互聯(lián)網(wǎng)服務(wù)提供商對(duì)用戶隱私并不重視��。
這次泄露事件也凸顯出云應(yīng)用中普遍存在的安全問(wèn)題�。王志海坦言���,今天���,安全問(wèn)題仍然是云服務(wù)的一大障礙。類(lèi)似搜狗輸入法這樣的泄密事件其實(shí)不是第一次發(fā)生,很多云服務(wù)商對(duì)用戶的隱私保護(hù)意識(shí)并不強(qiáng)����,也不具備太深入的安全技術(shù)。他們將數(shù)據(jù)存儲(chǔ)在云端時(shí)依然是用明文口令的方式�����,而普通用戶對(duì)云服務(wù)商是否采取隱私保護(hù)措施也無(wú)從知曉��。
很多時(shí)候����,個(gè)人用戶自身的安全意識(shí)也并不太強(qiáng),互聯(lián)網(wǎng)服務(wù)提供商是否具有足夠的隱私保護(hù)措施似乎并不那么重要�,但一旦個(gè)人的不安全行為習(xí)慣延伸到企業(yè),結(jié)果就不同了�。賽門(mén)鐵克最近與PonemonInstitute聯(lián)合發(fā)表的數(shù)據(jù)泄露研究報(bào)告表明,大部分?jǐn)?shù)據(jù)泄露是由雇員對(duì)機(jī)密數(shù)據(jù)的誤操作和系統(tǒng)錯(cuò)誤所引發(fā)�����。
如何解決云服務(wù)的安全問(wèn)題?王志海認(rèn)為�����,首先是要建立健全相關(guān)法律法規(guī)�,倒逼相關(guān)服務(wù)商增強(qiáng)對(duì)用戶的隱私保護(hù)意識(shí)以達(dá)到合規(guī)要求;其次是云服務(wù)商需要對(duì)安全有更多了解,建立安全團(tuán)隊(duì)或引入第三方安全團(tuán)隊(duì);另外��,相關(guān)問(wèn)題還應(yīng)該得到足夠的重視��,如:在云服務(wù)中的應(yīng)用正變得越來(lái)越普及���,存在云中的企業(yè)商業(yè)機(jī)密也會(huì)越來(lái)越多��,云服務(wù)一旦被黑客攻破�,被泄露的就不只是用戶密碼這么簡(jiǎn)單了��。
