搜狗 长点儿心吧

近日，搜狗很烦恼。11月5日，上午8时左右，微博上有大量用户反馈搜狗浏览器异常，在使用个人QQ账户登录搜狗浏览器时，可以查看到大量其他用户的账号和密码，并可以直接登录到这些账户中。当天下午，著名漏洞报告平台WooYun（乌云）了搜狗浏览器存在漏洞的消息。

随后，360和搜狗之间的弹窗喊话就开始了。一个提醒用户修改密码，一个指责对方恶意抹黑。但是，对于用户来说，关心的不是口水战，而是自己的隐私安全。

据360爆料，早在10月18日，搜狗用户论坛上就有人反映：“为什么别人账户的表单数据进入到我的浏览器里？”该用户称，已经是第二次出现这种情况了。这些数据包括邮箱、QQ空间、百度等网站的账号密码，而且都能登录。“不知道我的信息是不是也被别人同步走了。”

那时，这个帖子并未引起足够关注。直到11月5日“东窗事发”，360立即组织技术人员对这起“重大安全事故”开展验证。技术人员在一台只有基本应用程序的电脑中，下载安装搜狗浏览器，使用QQ账号登录搜狗浏览器后，双击退出该系统。然后，在工具栏里点击“智能填表”，再选择管理表单数据，网页上就会弹出一个表单。继续点击，就会出现大量不同用户的个人账户密码等信息。这些信息已经超过100M，而一套用户名和密码通常只有几字节。

据相关技术专家介绍，导致泄密的原因，是搜狗浏览器的自动填表功能，会把用户的账号和密码上传到搜狗服务器。当用户再次使用搜狗浏览器时，用户账号和密码会被从服务器回传到浏览器上，以方便用户使用。然而，由于搜狗的软件在同步方面存在设计缺陷，用户退出后，服务器会将大量其他用户的账号和密码回传到浏览器，除了账号和密码外，还包括其他用户的收藏夹信息、历史记录等。

“智能填表的初衷是方便用户在不同的电脑上登录自己的账户并同步数据，但数据同步服务器一旦发生泄密，损失将不可估量。”360公司副总裁曲晓东说。

今年9月1日，工业和信息化部的《电信和互联网用户个人信息保护规定》明确要求，“电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行调查处理。”对于提供互联网软件服务的公司来说，所收集的用户隐私数据，特别是账号密码等，理应提供高级别的安全加密措施。

虽然《电信和互联网用户个人信息保护规定》要求，电信管理机构应对违反本规定的行为的影响进行评估并处罚，但没有更加详细的规定，也没有对此类公众信息安全突发事件有进一步的定义和管理措施，更没有对涉及个人信息的互联网软件设计架构，制定相关标准。

电子商务、互联网金融已经深深融入到人们的生活和工作中，对个人网络信息隐私的关注，应该从商业竞争和企业之间的乱仗，转移到社会治安和公共安全的范畴中。既然不能置之度外，企业，麻烦“长点儿心吧”！