360 は Sogou がユーザーのパスワードを収集した証拠を公開、Sogou はライバルを中傷キャンペーンで非難

360 は Sogou がユーザーのパスワードを収集した証拠を公開、Sogou はライバルを中傷キャンペーンで非難

新浪科技は11月7日午後、360社が本日午後記者会見を開き、Sogouによるユーザーのプライバシー情報の収集と漏洩に関する関連データを発表し、今回の重大なセキュリティ事件はSogouの漏洩によって引き起こされたと述べたと報じた。しかし、SogouはSina Technologyに声明を送り、Sogouブラウザに問題はなく、脆弱性事件は完全に360による慎重な計画と舞台裏での操作の結果であると主張した。

360社の副社長である屈暁東氏は、11月5日に360社がユーザーから、個人のQQアカウントを使用してSogou Browserにログインすると、他のユーザーのアカウントとパスワードが大量に表示され、それらのアカウントとパスワードを使用してこれらのアカウントに直接ログインできるというフィードバックを受け取ったと述べた。これらのフォーラムでは、一部のユーザーが事故の詳細、特に他のユーザーのアカウントとパスワードを取得する詳細な手順を投稿しました。360はすぐに技術担当者を組織し、この重大なセキュリティ事故を検証しました。検証の結果、関連情報は完全に真実でした。

瞿暁東氏は、Sogou の流出はまれなインターネット セキュリティ インシデントだと述べた。流出したユーザー アカウント情報は、主に、ログイン アカウントとパスワード、お気に入りデータ、インターネット閲覧履歴の 3 つのカテゴリが含まれていた。

まず、360社による予備検証とネットユーザーからの情報フィードバックに基づく不完全な統計によると、漏洩したユーザーアカウントの種類は主に、電子メール、ソーシャルメディア、電子商取引、電子決済、モバイルアプリケーションアカウント、通信事業者、政府、大学、企業の内部管理システムなどです。

第二に、今回流出したデータを入手できたバージョンはSogou Browser 4.2であったが、Sogou Browser 4.2を使用しているユーザーのパソコンには、他のバージョンのSogou Browserのログインアカウントやパスワードが流出している可能性がある。 Sogou ブラウザの自動入力機能はデフォルトでオンになっており、Sogou ブラウザ 4.2 が正式版として宣伝されているため、このセキュリティ インシデントの影響は非常に広範囲にわたります。

第三に、Sogouブラウザには数千万人のユーザーがおり、漏洩したアカウントとパスワードの種類は非常に幅広く、漏洩は少なくとも1週間以上続きました。現在、これほど大規模なユーザー情報漏洩問題を経験した製品は他になく、インターネットブラウザの歴史上稀なセキュリティインシデントです。

記者会見で、360はメディアにビデオ(ビデオアドレス)を再生しました。ビデオでは、基本的なアプリケーションのみを搭載したコンピューターでSogou Browserをダウンロードしてインストールし、Sogou Browserアカウントをクリックしてシステムにログインし、QQアカウントとパスワードを使用して登録してログインし、ダブルクリックしてシステムを終了しました。次に、ツールバーの「スマートフォーム入力」をクリックし、「フォームデータの管理」を選択すると、Web ページにフォームがポップアップ表示されます。クリックし続けると、さまざまなユーザーの個人アカウントのパスワードやその他の情報が大量に表示されます。ビデオでは、これらのアカウントとパスワードを使用して、ユーザーの Taobao、電子メール、QQ などのシステムにアクセスできることが示されています。

360の技術者は、漏洩の原因はSogouブラウザの自動フォーム入力機能であり、ユーザーのアカウントとパスワードがSogouサーバーにアップロードされることであるとその場で分析した。ユーザーが Sogou ブラウザを再度使用する場合、ユーザーの便宜を図るため、Sogou はサーバーから収集したユーザー アカウントとパスワードをブラウザに送り返します。

「しかし、Sogouのソフトウェアの同期設計に欠陥があり、ユーザーがログアウトすると、設計エラーがトリガーされ、サーバーが他のユーザーの大量のアカウントとパスワードをブラウザに送り返します。アカウントとパスワードに加えて、他のユーザーのお気に入り情報、履歴記録なども含まれます」と技術者は述べた。

360 技術スタッフは、Sogou ブラウザの自動フォーム入力機能を使用したユーザーは、電子メール、ソーシャル メディア、電子商取引、電子決済プラットフォーム、モバイル アプリケーション アカウント、政府情報管理システム、公共事業 (1633.095、-7.54、-0.46%) 情報プラットフォーム、通信サービス、大学の内部管理情報システム、企業の内部管理システムなど、ログインまたは保存されているすべてのアカウントのパスワードをすぐに変更することを推奨しています。

「インターネットソフトウェアサービスを提供する企業は、ユーザーの個人データ、特にアカウントのパスワードを収集する際には注意を払い、ユーザーの個人情報が解読されないように、また異なるユーザー間のデータが隔離されるように、高レベルのセキュリティ暗号化対策を講じるべきである。また、インターネットソフトウェアは、低レベルのソフトウェアの欠陥によって個人情報が漏洩しないように、高レベルのソフトウェア設計アーキテクチャを採用すべきである」と、上記関係者は述べた。

11月5日午後、脆弱性報告プラットフォームWooYunがSogou Browserに脆弱性があるというニュースを発表したと報じられている。 「24 Hours」「News Live Room」「Hotspot Scan」「Transaction Time」などのCCTV番組では、記者が脆弱性情報を検証する全過程が詳細に報道された。

ソゴウは答えた

360の行為に対して、SogouはSina Technologyに公式声明(全文)を送り、11月5日から360は綿密な計画と指示を通じて、フォーラムID、Weibo水軍、メディアを操作し、360ナビゲーション、ポップアップなどの手段を使用して、Sogouブラウザの信用を再び失墜させたと述べた。

Sogouは「Sogouブラウザは安全で信頼性が高く、いわゆる脆弱性は存在しないことをお約束します。どうぞご自由にお使いください。今回の脆弱性事件は360が舞台裏で完全に計画し、操作したものです」と強調した。

360がメディアに再生した証拠ビデオに対して、Sogouは、360のビデオは中傷的な主張を裏付ける証拠を提供できないと述べました。アカ​​ウント同期機能を使用する限り、コンピュータAで特定のQQアカウントを使用してブラウザにログインした後、コンピュータBのブラウザで同じQQアカウントにログインすると、フォームデータがインポートされ、コンピュータAに同期されます。これは、アカウント同期メカニズムの正常な機能です。

Sogouによると、事件発生後、360 Security GuardsはまずWeiboに投稿してユーザーに注意を促し、その後360の公式Weiboアカウントが短期間で一斉にメッセージを転送し、その後360 Security Guardsはポップアップウィンドウを立ち上げてユーザーにSogouの使用をやめるよう求めたという。 360も自社のウェブサイトで関連ニュースを発表し、多くのユーザーから報告されたSogouブラウザのセキュリティ脆弱性をリストアップした。しかし、これらのユーザーはすべて偽アカウントであり、彼らが公開したWeibo投稿の形式は非常に似ていた。

Sogouは、Sogouの投稿がKafanフォーラムに掲載された後、360はSogouに連絡したり問題の性質を確認したりすることなく、Weiboに告知を掲載したり、インターネット上のユーザーにポップアップウィンドウを表示したり、ビデオを公開したりして、いわゆる脆弱性の詳細を公開したと考えています。この行為はセキュリティ業界のルールに違反し、競合他社を攻撃する意図がありました。 (愛)

さらに読む:

  • Sogou はブラウザによるユーザーアカウント漏洩を否定、投稿者は誰かがアカウントをハッキングしたと主張
  • Sogouブラウザの脆弱性「羅生門」:投稿者は自分のアカウントが盗まれたと主張した
  • 毎日の話題:Sogouブラウザに大きな脆弱性が露呈、投稿者は誰かが自分のアカウントを盗んだと主張した


原題: 360はSogouがユーザーのパスワードを収集した証拠を発表、Sogouはライバルが同社を中傷していると主張

キーワード: Sogou、証拠、対戦相手、パスワード、ユーザー

<<:  タオバオはO2Oに力を入れている:タオディアンディアンがテイクアウトサービスを開始

>>:  疑似オリジナルコンテンツを見分ける方法:情報指紋技術

推薦する

中国のクラウドコンピューティング市場はどのように規制されていますか?

国内外の規制当局には、IP が物理マシンによってサポートされているか仮想マシンによってサポートされて...

A5 Webmaster Networkの第3回Taobao SEOトレーニングコースの申し込み受付を開始しました

Taobao 検索ランキングの最適化は、Taobao SEO とも呼ばれ、Taobao ストアを開設...

推奨: sugarhosts - 中国電信への新規直接接続/中国聯通への直接接続済み

朗報です。中国系が参加する有名なホスティング会社であるsugarhostsは、中国聯通と米国ロサンゼ...

キーワードコンテンツページのランキングはウェブマスターにとってより研究する価値がある

新しく構築したウェブサイトでも、最適化中のウェブサイトでも、SEOにはデータ分析が欠かせません。ウェ...

月額 16 ドルから、Windows VPS、1Gbps 帯域幅、無制限トラフィック、香港/日本/ベトナム/シンガポール/米国の 30 のデータセンター

Greencloudvps は、デフォルトの帯域幅が 1Gbps、トラフィックが無制限のライセンス付...

チャネル運営丨プロモーションの専門家になりたいなら、意外な戦術を組み合わせる必要があります

特に新興企業では、プロモーションを行う際に「チャネルが重要」という格言があります。リーダーは常に、プ...

Google I/O 2018: Google Instant Games がすべての Android 開発者に公開

米国現地時間5月8日午前10時(北京時間5月9日)、3日間にわたる2018 Google I/O 開...

アマゾン ウェブ サービス (AWS) の機械学習サービスである Amazon SageMaker が中国で利用可能になりました

2020年9月17日:記者がアマゾンクラウドサービス(AWS)から得た情報によると、今年4月に光環新...

VMware の革新的なテクノロジーがマルチクラウド ネットワーキングとセキュリティを再定義

VMware (NYSE: VMW) は本日、拡大を続けるネットワークおよびセキュリティ ポートフォ...

注: Bluehostの公式中国語サイトの説明

最近、一部のネットユーザーから、bluehostが中国語のウェブサイトを立ち上げたという報告がありま...

紹介: APC-90 SGD/2Gメモリ/60Gハードディスク/50M無制限/シンガポール

APC は、2003 年に設立されたとされるシンガポールのホスティング会社です。ドメイン名登録、ドメ...

ウェブサイトを最適化する際に SEO に独立した IP を使用する利点は何ですか?

皆さんおはようございます。今日は週末です。杭州の多くの企業は休業していますが、ウェブサイトの最適化の...

ブランドプロモーションのためのQ&Aプラットフォーム

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますインターネ...

ファーウェイクラウドは中国のクラウドコンピューティングのジレンマと希望を示している

[[396599]] Huawei Cloudは中国のクラウドコンピューティング市場における最大の変...