烏云漏洞報告平臺上披露的搜狗輸入法漏洞
烏云漏洞報告平臺還公開了搜狗輸入法漏洞披露的詳細狀態(tài)
針對烏云漏洞報告平臺所披露的漏洞�����,搜狗方面怎么看?記者就此致電搜狗��,搜狗相關(guān)負責人表示�����,搜狗發(fā)布的官方聲明即為對此事的官方回復(搜狗產(chǎn)品沒有漏洞�,也不會泄露用戶隱私)���。而對記者所關(guān)心的烏云漏洞報告平臺所披露的那個漏洞�����,搜狗方面避而不談���。
就此問題,記者對安全界有關(guān)專家進行了采訪����。得到的普遍回答是:搜狗泄密事件,本質(zhì)上還是輸入法服務(wù)商沒有對用戶采取有效的安全防護措施所致,與搜索引擎并無太大關(guān)系��。一位數(shù)據(jù)安全專家表示�,退一步說,就算搜索引擎不遵守搜索協(xié)定��,作為服務(wù)商也不能將信息安全簡單地寄望于第三方遵守規(guī)則的基礎(chǔ)上���。如果照這樣假設(shè)��,世界上就不會有黑客和犯罪分子存在�����,也就沒有信息安全產(chǎn)業(yè)存在的必要�。
通過輸入法泄露隱私��,這在技術(shù)上是如何實現(xiàn)的?烏云漏洞報告平臺公開信息顯示�����,搜狗輸入法信息在發(fā)送過程存儲了相對應(yīng)的信息在云端�,但由于相應(yīng)配置及其他原因造成了會話信息(圖片、視頻�、音頻)泄露����,由于不嚴謹造成信息被搜索引擎抓取����。數(shù)據(jù)安全廠商北京明朝萬達科技有限公司董事長王志海告訴記者,從數(shù)據(jù)保護的角度說��,數(shù)據(jù)在存入云端之前是應(yīng)該被加密的����。類似搜狗這次的泄密��,從技術(shù)上講比較簡單�,如果采用明文方式將數(shù)據(jù)存儲在云中,在公開網(wǎng)站上就可能會很容易被搜索到����。另外,即便被加密的數(shù)據(jù)被破解了�,如果做好了訪問控制,也能對訪問數(shù)據(jù)的人員進行控制��,不該看到數(shù)據(jù)的人也看不到����。對于互聯(lián)網(wǎng)服務(wù)提供商而言����,要保護用戶隱私���,技術(shù)上并不難實現(xiàn)��,身份驗證���、后臺狀態(tài)的維持,這些都是比較成熟的通用技術(shù)�����。出現(xiàn)此類泄密事件��,根源是對互聯(lián)網(wǎng)服務(wù)提供商對用戶隱私并不重視���。
這次泄露事件也凸顯出云應(yīng)用中普遍存在的安全問題����。王志海坦言���,今天����,安全問題仍然是云服務(wù)的一大障礙。類似搜狗輸入法這樣的泄密事件其實不是第一次發(fā)生��,很多云服務(wù)商對用戶的隱私保護意識并不強��,也不具備太深入的安全技術(shù)�����。他們將數(shù)據(jù)存儲在云端時依然是用明文口令的方式�,而普通用戶對云服務(wù)商是否采取隱私保護措施也無從知曉��。
很多時候�,個人用戶自身的安全意識也并不太強,互聯(lián)網(wǎng)服務(wù)提供商是否具有足夠的隱私保護措施似乎并不那么重要�����,但一旦個人的不安全行為習慣延伸到企業(yè)�,結(jié)果就不同了。賽門鐵克最近與PonemonInstitute聯(lián)合發(fā)表的數(shù)據(jù)泄露研究報告表明��,大部分數(shù)據(jù)泄露是由雇員對機密數(shù)據(jù)的誤操作和系統(tǒng)錯誤所引發(fā)。
如何解決云服務(wù)的安全問題?王志海認為�����,首先是要建立健全相關(guān)法律法規(guī)���,倒逼相關(guān)服務(wù)商增強對用戶的隱私保護意識以達到合規(guī)要求;其次是云服務(wù)商需要對安全有更多了解���,建立安全團隊或引入第三方安全團隊;另外,相關(guān)問題還應(yīng)該得到足夠的重視���,如:在云服務(wù)中的應(yīng)用正變得越來越普及����,存在云中的企業(yè)商業(yè)機密也會越來越多�����,云服務(wù)一旦被黑客攻破����,被泄露的就不只是用戶密碼這么簡單了。
