奇虎金山互咬 互联网泄露隐私已是潜规则？

　　据报道继金山披露奇虎360涉嫌国内互联网重大网民隐私泄露事件后，360也再一次将矛头指向金山。

　　值得注意的是，4日下午，金山网络替换了其官网首页“360泄密”事件相关文章，奇虎360则临时取消了相关的媒体沟通会，双方同时“收手”引起网民的极大关注。有网友称，或因为相关部门介入此事。

　　去年12月31日上午6时38分，有网友在百度贴吧上报料称：看看360都收集了什么，随机发了相关链接地址。

　　11时，金山网络称接到用户举报，举报者称其在网络上搜索到自己的用户名和密码等信息，怀疑电脑中毒，要求协助解决。

　　金山网络工程师李铁军表示，接到举报后，金山立即帮助用户进行解决排查，并在解决过程中通过搜索引擎谷歌发现在互联网上存在一个巨大的用户隐私信息包。经过追踪，发现该隐私数据包来自360官方服务器，里面包含大量网民上网行为记录以及用户名、密码等信息。

　　国际上知名互联网安全组织OWASP中国区西南地区负责人Joey在接受采访时表示，在看到金山发布的消息后，也曾经到谷歌快照下载了从360服务器外泄的日志文件。Joey透露，在利用360收集的用户行为日志中找到了携程某代理商的身份认证信息，并成功进入该代理商的携程管理后台。从他手里掌握的已经过滤的达几百个密码文件，因为时间问题并没有挨个进行验证，不过都是各类管理系统后台、论坛、邮箱。

　　记者从某安全厂商下载到的360服务器泄露的log文件中看到，360日志记录十分详尽，例如某用户在2010年12月8日至20日的23个日志中出现了268次，记录了该用户访问QQ空间，下载软件，看在线电影，使用百度搜索引擎的所有浏览页面行为。此外，可看到淘宝网购用户姓名、邮箱、手机、送货地址、订单金额、快递费，下单时间精确到秒。

　　1月3日，金山旗下网站pc120.com也被曝光流出大量用户隐私，其中包括用户名和密码，这些用户名和密码已被各大搜索引擎抓取。

　　金山网络市场部副总裁肖洁表示，金山pc120.com是用户主动提交网址进行查询的独立网站，那些包含部分个人隐私的内容数据是网友自己上传的，金山已全部删除这些信息，并与收录的搜索引擎积极联系，消除影响。

　　Joey表示，经过验证，金山提供了一个入口：http:/wangzhi.pc120.com/供用户用来检验网址是否安全，而之前曝光的用户隐私搜索出来的正是这个地址的处理日志，“也就是说，这个是用户主动发起的。不过金山也确实犯了错误，就是用户提交的这些数据它没有处理妥当，还是公开了。这不能不说也是个安全问题。”

　　一位不愿意透露姓名的安全厂商表示，由于地区、人群分布的浏览报告对于电子商务非常有价值，国内许多有渠道的厂商都在做类似的数据分析。

　　著名互联网专家谢文在接受媒体采访时表示，互联网行业有个不成文的规矩，只要用户上了网，他的很多信息就都是可以看到的。包括谷歌、百度等公司，都会自然生成cookie，这个很容易被读到。“但这是产品提供商的问题，现在要明确的问题是，360是否主观故意在产品设计中系统地收集整理用户隐私信息，是否将这些信息进行商业盈利。”