期货公司隐私数据遭360泄密 360高管推诿称对方保密不力

近日，国内知名媒体《每日经济新闻》发表了一篇名为《360上传证券期货用户名密码证券机构惊慌自卫》的重磅稿件，直指360涉嫌窃取国内安全级别极高的证券金融行业客户隐私，并拿出了多段经过证券机构从业者验证真实性的视频作为证据。对这样一个确凿的事实，360方面却继续采取了推卸责任的策略——在微博上回应此事时，360首席隐私官谭晓生对360在用户未知情况下收集上传隐私数据的问题只字未提，却将信息泄露的全部责任推诿为证券公司网站的安全性设计有问题，对用户信息保密不力。这一回应发布之后，遭到多方网友和业内人士的质疑。 

根据《每日经济新闻》的报道，通过360服务器的数据，任何人都可以潜入中国安全等级极高的一些证券系统后台，“替”大客户进行大额资金操作，甚至是资金转移，而整个过程完全无需取得用户的同意。以国内一家知名证券公司（A公司）的期货大客户为例，由于他使用了360软件，黑客通过在线浏览360服务器upload.360safe.com即可复制出他访问目标金融机构网址的请求参数，并进入网页了解其真实姓名、期货公司名称、账号、资金量、下单交易记录等，每一次详细操作的记录、出入金明细、成交汇总、持仓汇总以及客户期货结算的账户等敏感信息。 

对于这种严重的敏感信息泄露，360首席隐私官谭晓生却将责任全部推到证券公司头上，指责其网站设计有问题：“（A证券公司网站）首先不应该把用户名、密码、密码的Hash值、Session标识的数值放进去URL网址中，这是Web安全编程的最基本原则。”但在不少网友和业内人士看来，这样的回应方式只是为了撇清360在未经用户许可下偷偷记录和上传用户访问网址记录、金融账户密码的侵权责任。 

按照谭晓生的逻辑，用户金融账号信息被泄露是因为证券机构未对用户信息进行加密处理，导致用户信息一直处于“裸奔”状态，所以360收集和上传这些裸奔着的信息导致外泄，其责任并不在于360。对于这样的强盗逻辑，不少网友表示，即便用户的个人信息因为目标网站的设计不严谨被暴露在访问URL中，安全软件和浏览器软件也应该具备必要的职业操守，不能在未经许可的前提下擅自存储被暴露的部分用户个人隐私信息。更有网友调侃道：“（谭晓生）老兄责怪客户的思维有点奇怪，（按照这个逻辑）李天一也可以说女孩子不该穿得太性感……” 

曾揭露360安全软件窃取用户隐私黑幕的微博网友“独立调查员”表示，所谓云安全只是辅助机制，安全软件应尽可能排除可信的主流网站而不是收集并上传所有网址，在进行网址上传比对时更是应该排除网址中的访问请求参数等个人信息。他指出：“金融、证券方面的信息，在互联网上是与国家安全、军事等同等重要的禁区，属于高压线的范畴，互联网安全企业理应自觉回避，但360竟然毫不避嫌全面收集、形同监视，我无法理解其真实动机。” 

近年来，对于360安全软件擅自收集、上传用户隐私信息并造成泄漏的质疑声接连不断，此次360再次被媒体曝光其涉嫌窃取国内安全级别极高的证券金融行业用户隐私，将引起更大范围的隐私安全恐慌。而360高管这种推诿、栽赃的态度，不仅无助于问题解决，反而可能引起更多用户的反感和360软件卸载行动。

责任编辑：wb001

文章来源：http://www.72177.com/html/201307/06/900621.htm