3月27日,《每日經濟新聞》記者致電中國一家證券公司(出于相關考慮�,以下簡稱A公司),告知該公司證券期貨客戶賬號信息被外泄��,不確定外泄賬號的數量及其影響����。
這是一個令人驚駭的問題,A公司新聞發言人當即堅稱��,公司證券期貨系統是國內最為規范而嚴格的系統��,絕無可能被侵入��。但記者告訴上述新聞發言人,《每日經濟新聞》手中握有A公司客戶使用360軟件導致其在中國期貨保證金監控中心系統絕密信息外泄的視頻證據��。
該新聞發言人聽聞此事��,并根據《每日經濟新聞》提供的視頻證據信息進行內部核查��,最終證實了該視頻信息的準確性����。很快,該消息通過A公司傳到該公司旗下的期貨大客戶——被泄露賬戶密碼等私密信息的受害客戶華平平(化名)那里��,其當場表示:令人震驚�。
突如其來的泄密:期貨大戶隱私信息“裸奔”
事情起源于今年3月初,《每日經濟新聞》記者接到爆料�����,一位自稱陳明(化名)的網友稱其手中有一個絕密視頻��,內容是其通過360服務器外泄數據而意外“進入”中國期貨保證金監控中心系統�,進而獲得用戶期貨交易等相關隱私信息����。
陳明告訴記者,2月26日����,其從網上閱讀了《每日經濟新聞》獨家報道的《360黑匣子之謎——奇虎360“癌”性基因大揭秘》��,對其中揭露的360涉嫌存在竊取用戶隱私,并為了商業利益通過在“360安全衛士”“360安全瀏覽器”中植入“后門”與360云端配合�,粗暴侵犯網民隱私權����、知情權�,破壞行業規則和秩序的問題“感到震驚”,并表示贊同�����。
事實上���,陳明只是眾多爆料人中的一位���。自《每日經濟新聞》刊發上述報道之后�����,大量用戶�、受害者����、技術愛好者均通過各種渠道,向本報提供了各類360涉嫌“作惡”的證據��。
陳明表示���,過去幾年���,360由于涉嫌上傳用戶隱私而遭受的指責眾多���。而目前其掌握的這一份視頻證據�,意味著360服務器涉嫌每時每刻都在上傳大量用戶的隱私數據,其中甚至包括極為敏感的金融證券系統的賬戶和密碼�����!
為了證實陳明手中視頻內容的真實性�,《每日經濟新聞》三地記者聯動,通過各種渠道采訪,并最終找到了A公司的期貨大戶華平平���。
當A公司證實了視頻內容的真實性后,馬上意識到了事情的嚴重性,該公司新聞負責人坦言:他們也不理解這類機密信息會被360服務器收集的背后原因��。
A公司一位內部人士透露����,針對上述事件����,A公司三地高層臨時召開電話會議,試圖應對這一次泄露事件可能導致的重大品牌危機���,同時公司IT部門也在調查此事,并研究應對方案����。
至此�����,360涉嫌竊取國內安全級別極高的證券金融行業用戶隱私的證據,終于曝光于世�。這也意味著�,通過360服務器的數據����,任何人都可以潛入中國安全等級極高的一些證券系統后臺,“替”大客戶進行大額資金操作����,甚至是資金轉移�。最為恐怖的是����,整個過程神不知鬼不覺,這些證券大戶們根本不知道����,自己原來是在“裸奔”��。
隱私信息“被現場直播”:三段視頻浮出水面
陳明最初是通過網絡方式向《每日經濟新聞》記者提供了其通過360服務器外泄數據而意外“進入”中國期貨保證金監控中心系統,獲取用戶重要信息的相關證據�。
根據陳明自述��,此證據是其在2010年12月31日獲取的����,一共分為三個部分。
第一部分和第二部分(這兩部分已合并為“視頻1”����,可直接掃描“二維碼1”觀看����;或訂閱每日經濟新聞官方微信號2202419768,回復“視頻1”觀看)顯示�����,通過在線瀏覽360服務器upload.360safe.com����,可以清晰地看到大量網民在2010年12月的上網瀏覽記錄,包括在淘寶的瀏覽記錄��、訂單操作過程�����,訪問好友QQ空間�,通過百度搜索哪些電影����、下載什么播放軟件等皆可被現場直播……
事實上,上述兩段視頻在2010年曾經一度熱傳過�,但如今已被刪得所剩無幾���。
最為關鍵的第三段視頻 (掃描“二維碼2”觀看“視頻2”���;或訂閱每日經濟新聞官方微信號2202419768,回復“視頻2”觀看)則是首次曝光���,視頻顯示,從360泄露的用戶瀏覽日志文件中復制出某金融機構的網址及其訪問請求參數���,通過瀏覽器進入目標網頁,便可獲得證券期貨市場大客戶的絕密信息��。
以已經被證實真實身份的華平平為例���,通過視頻可以清晰看到他的真實姓名��、期貨公司名稱�����、賬號、資金量�、下單交易記錄等�,每一次詳細操作的記錄���、出入金明細��、成交匯總���、持倉匯總以及客戶期貨結算的賬戶等敏感信息被暴露無疑����。
與陳明一樣下載過360泄密信息的一位安全工作人員殷某也曾經有過這樣意外的發現�����。2010年12月31日,其發布微博稱,“我在#360#的幫助下完成了2010年的最后一次入侵檢測或者說Hacking,利用#360#收集的用戶行為日志中找到了#攜程#某代理商的身份認證信息,成功進入該代理商的攜程管理后臺。不過俺沒干壞事。你說這事兒我得通知誰呢���?”
在《每日經濟新聞》記者獲得的360服務器外泄的數據中,還有其他幾位受害人的機器碼、所屬期貨公司ID等信息����,這也意味著只要通過360服務器記錄的這些外泄數據����,任何人都可以輕易地侵入這些客戶的資金賬戶�����,獲得用戶敏感信息��。
這些翔實的視頻證據�����,意味著360不僅涉嫌上傳用戶網址,而且存在刻意收集用戶賬戶和密碼的嫌疑。如果不是陳明將上述視頻曝光����,以及《每日經濟新聞》記者的聯系求證�����,這些帶有用戶隱私數據的重要信息或許一直會神不知鬼不覺地保存在360服務器,而被入侵的A公司和華平平等用戶本人至今或許還蒙在鼓里。
在稿件操作過程中,基于私人信息保密的需要,華平平婉拒了《每日經濟新聞》記者的采訪請求����。
