被央视等媒体曝光搜狗浏览器泄露用户隐私,不但没有检视自身产品问题,修复漏洞安抚用户,反而称此事遭人陷害,并在官方网站和官微上发布题为“360安全卫士抹黑搜狗炮制史上最恶劣造谣事件”的文章,360公司随即将搜狗公司告上公堂。日前,北京市二中院最终裁定搜狗公司构成商业诋毁,并赔偿360公司30万元人民币。
该案的判决不仅创下业内同类型案件中的最高赔偿金额,也对2013年的“搜狗浏览器泄露用户隐私事件”在司法层面做出了定论。
媒体曝光搜狗浏览器泄露用户隐私公安提醒用户及时修改密码
2013年11月,国内安全论坛卡饭有用户曝料称,使用QQ账号登录搜狗浏览器,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,甚至直接支付交易。
随着事态的逐渐扩大,央视、新华社等权威媒体介入,对此事进行了报道。央视的报道全面验证了搜狗搜狗浏览器存在安全漏洞的整个过程:选择一台只有基本应用程序的电脑,下载安装搜狗浏览器,点击其账号登录系统,使用QQ账号和密码进行注册与登录,随后退出该系统,然后在工具栏里点击智能填表,再选择管理表单数据,网页上就会弹出附有淘宝、QQ邮箱、住房公积金、12306火车订票系统等字样的表单。继续点击,就会出现其他用户的真实账号和密码信息。登录这些账户和密码,可以直接进入其他人的支付宝进行转账购物,或者直接进行支付交易。
央视曝光搜狗浏览器安全漏洞
根据当时媒体报道的统计,搜狗浏览器泄露的用户账号密码数量越有上千个。而在微博上,众多网民也亮出各种泄露的账号密码,此次信息泄露涉及公积金、各类电子邮箱、彩票、淘宝、苹果携程、人人、12306火车票订票网站、一些政府部门网上管理系统,以及一些高校网站。
国际开源网络程序安全研究组织专家陈亮在接受媒体采访时表示,自己在测试时候也发现了这一漏洞。陈亮分析认为,导致该漏洞的可能是其中一个插件接口存在问题,同时搜狗也违反了密码设置的最基本原则,就是明文保存密码信息。
360等安全公司随即向用户发出安全提醒。广东、兰州等地的公安、网警部门快速反应,通过微博等渠道提醒搜狗浏览器用户修改密码,以防遭受财产损失,如遇见以上情况请第一时间联系公安机关。
迫于各方的压力,11月5日搜狗浏览器发布官方声明否认存在这一漏洞,但并未对网上已经公开的视频证据以及相关技术细节做出有力回应。
然而就在搜狗发出声明6分钟后,著名的漏洞报告平台乌云报告“搜狗浏览器存在重大安全漏洞,可以直接登陆数千账户”,称该漏洞类型为“网络敏感信息泄露”,危害等级为“高”。
工信部:严厉打击泄露个人隐私行为
搜狗的官方声明一经发布即引发业界哗然,许多网民也在微博上反映该问题,还上传了电脑截图显示,更有网友开始向360等安全公司投诉。
国内另一安全厂商瀚海源CEO方兴分析:这次的安全漏洞问题可能出在搜狗浏览器的云同步上,第一,无法确认搜狗浏览器的云同步是否得到用户授权;第二,能够同步到其他用户的信息,可能内部管理问题。
招行、建行、工行等多家金融机构表示已经将搜狗浏览器的安全风险反应给内部相关部门。国家互联网应急中心也提示公众及时“关注我们网站的通知。”
11月6日,工信部表态,称“将继续关注此事件的发展。同时,将积极应对和有效处置各类网络安全威胁,严厉打击泄露用户个人信息的行为。”
工信部电信研究院总工程师余晓晖在接受媒体采访时指出,面对大规模网络安全事件,需要有第三方权威的检测机构出面厘清真相,可以通过技术手段及时监督、公布、反馈互联网安全漏洞,确认披露相关细节。
[page]
北京邮电大学教授阚凯力认为,随着网络的发展,如银行卡、账号、登录密码等核心个人信息越来越多存储在电脑与网络上,若有丢失则属于严重安全问题,不容忽视。
11月7日,处在风口浪尖的搜狗公司在浏览器官方网站和搜狗浏览器新浪官方微博上发布了题为“360安全卫士抹黑搜狗炮制史上最恶劣造谣事件”一文。在这篇文章中,搜狗将浏览器存在安全漏洞、泄露用户隐私的行为颠倒为360公司的精心策划。
360公司随即表示,搜狗方面从未正视其产品问题所在,而是希望通过抹黑360的方式来掩盖事实,转移公众的视线。不但损害了360公司的商业信誉和产品声誉,更是弃用户的利益于不顾。对于搜狗公司的这一行为,360不能忍让,以搜狗涉嫌不正当竞争为由,将对方诉至公堂。
法院:搜狗构成商业诋毁赔偿360公司30万人民币
2015年1月,北京市二中院最终裁定搜狗公司构成商业诋毁,并赔偿360公司30万元人民币。
该案的判决不仅创下业内同类型案件中的最高赔偿金额,也对2013年的“搜狗浏览器泄露用户隐私事件”在司法层面做出了定论。
法院经过一年多的审慎调查,最终认定,在没有相关证据的支持下,搜狗科技公司和搜狗信息公司断言“搜狗浏览器漏洞事件”是360公司精心策划、幕后操纵的行为不符合客观实际,属于捏造和散布虚伪事实。同时,搜狗科技公司和搜狗信息公司发布的“奇虎公司心怀鬼胎,第一时间攻击对手”等不实言论,对360公司造成负面评价,超出了正当的商业评论的范畴。
综合双方提供的证据,法院最终认定,搜狗公司的行为属于故意捏造、散布虚伪事实,构成商业诋毁,判决被告停止涉案不正当竞争行为,同时连带赔偿360公司经济损失30万元。
事实上,搜狗近年来并非单单为诉讼所累。在先后经历了阿里和腾讯的注资后,搜狗仍然挣扎在中国互联网二线的位置。在搜索业务上,搜狗依旧处于略势地位,与百度和360搜索并无鲜明差别,专属特征并不明显,市场份额也始终没能突破30%的临界点。
情急之下的搜狗不得不启用大招,在核心产品搜狗输入法中玩“猫腻”,以搜狗输入法捆绑安装搜狗浏览器的模式求自保。
有业内人士分析称,腾讯入主搜狗后,并没有为搜狗马上带来现实的各种资源和支持,这也是在清理之中。搜狗要破除企业发展的困局,仍然得益于好的产品与服务,以捆绑安装的模式获得市场份额严重背离用户利益,无异于饮鸩止渴,不能长久。