昨日,国内安全论坛卡饭有用户曝料称,使用QQ账号登录搜狗,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,甚至直接支付交易。一石激起千层浪,记者注意到,随后不少网友纷纷发表微博曝料。不过,搜狗方面随后发表声明称,搜狗技术团队第一时间进行了查证,确认并不存在此类现象,并暗示这是某些竞争对手在幕后恶意中伤、发起不正当竞争,并且不放弃诉诸法律的权利,但是搜狗并未明示甚至暗示是哪些竞争对手。
记者看到,有网友在专业技术论坛曝料称,通过QQ账号授权登陆搜狗,通过登陆界面,快速点击几下退出,不用进行什么其它的操作,搜狗就自动下载众多的账号密码、收藏夹、网页更新提醒等等,而重点在于收藏夹里保存的都不是用户个人的信息,而是一些其他用户的信息,其中包括海量的12306账号信息和密码。记者就此联系了了12306方面,客服回应称,目前已经将相关的情况反映给技术部门,对于上述问题,一经查实12306会有相应的技术措施应对,避免用户相关账号个人信息的泄露。
有技术人员分析称,这可能是源于搜狗的“智能填表”功能存在漏洞。用户在使用QQ账户登陆搜狗新版,搜狗会自动下载其他用户的账户信息。这些信息包含了用户的淘宝、银行、微博、新浪、搜狐、网易和QQ邮箱等所有账户,随便点击就可进入。而且,搜狗将大量用户保存的账户密码以及收藏夹等信息,同步到了其他人电脑上。
技术专家建议说,这可能是近年来罕见的一次重大安全事故,在搜狗公司修复此漏洞之前,建议用户千万不可使用此。对于曾经使用搜狗登陆过的账户密码的用户,也要立刻修改全部密码,尤其是涉及到银行、支付宝、游戏帐号、云存储、邮箱等财产和隐私数据的账户。这次搜狗的安全漏洞已经直接影响到数千万用户的隐私和财产安全。
记者注意到,这已经不是搜狗公司第一次被爆出与用户隐私相关的安全漏洞。今年6月乌云漏洞报告平台发布微博曝料发现微博疯传搜狗输入法泄密事件。但搜狗公司随后在接受媒体采访时,对乌云漏洞报告平台所披露的搜狗漏洞却只字未提平台,只是表示用户的“多媒体输入”信息泄漏,问题出在微软的搜索引擎抓取中。
对于本次“漏洞”事件,记者看到,本市网友纷纷关注,这次漏洞事件可能会涉及支付安全问题,所以不管事实怎样,还是先把密码修改了再说。