3Q大戰告一段落，但硝煙並未散去。2010年的最後一天，一場關於用戶隱私的戰爭再次爆發，有意思的是，這次涉嫌泄漏用戶隱私的主角正是3Q大戰中的“安全衛士”360。

　　    2010年12月31日下午，金山指責360收集網友隱私，包括用戶訪問網站記錄、搜索記錄以及用戶名密碼等信息，並以360服務器被谷歌抓取的日誌作為證據。360則回應稱這是上傳惡意網站的正常功能，金山也有這一功能。而此次被G oogle抓取到的日誌中，不到萬分之一的URL含用戶名和密碼等信息“泄漏風險非常有限”。

　　    事件

　　    用戶資料外泄長達14小時

　　   “沒想到2010年會以這樣的方式結束工作。”2010年12月31日下午4點許，金山網絡C EO傅盛在微博上寫下這樣一句話。就在此時，金山召開緊急新聞發布會，稱其安全中心接到用戶舉報，在G oogle網站上可以搜索到大量中國網民使用互聯網的隱私記錄，甚至包括用戶登錄網站或郵箱的用戶名、密碼。而這些數據的來源，正是之前3Q大戰中的“安全衛士”360。

　　    發布會在網上進行了直播，現場展示了部分案例，這些案例分別涉及360用戶在百度、谷歌、搜狗等搜索引擎上的搜索歷史、郵箱等服務的用戶名密碼，以及某些內部網絡的登錄地址、文檔信息等內容。

　　    金山網絡稱，經過驗證發現，360在通過其他客戶端秘密手機網友信息，但由於服務器的配置問題，導致記錄大量用戶信息的日誌文件被G oogle收錄索引，導致大規模外泄。金山呼籲360用戶盡快修改密碼信息。

　　    金山網絡技術工程師李鐵軍在接受本報采訪時表示，現在很多安全廠商都使用雲技術，都會上傳一些信息到雲服務器上作匹配，以此判斷鏈接是否安全。“但是雲安全不應該是肆意收集用戶隱私的遮羞布。”李鐵軍說，首先這些惡意網址在上傳的時候是不會與用戶電腦進行對應的，更不會對用戶電腦的幾乎所有操作都上傳，比如新浪、網易、Q Q等已被認證的網站、用戶口令等唯一標識信息都會過濾之後才上傳，而且上傳供驗證的部分惡意網址也不會被服務器保存。

　　    李鐵軍認為，從360泄漏的日誌來看，包含的用戶信息非常詳細，明顯超過了上述範圍，“雖然普通用戶看不懂，但一旦被黑客利用，就非常危險了。”

　　    據了解，泄漏的日誌最早2010年12月31日上午6點許就在網上傳播了，直到當晚10點，G oogle才將這些信息的網頁快照完全屏蔽。

　　    網友驗證

　　    利用日誌成功登錄攜程代理後臺

　　    在網頁快照屏蔽前幾個小時，新浪微博用戶Joey_Y in寫道：“我在360的幫助下完成了2010年的最後一次入侵檢測或者說H acking，利用360收集的用戶行為日誌中找到了攜程某代理商的身份認證信息，成功進入該代理商的攜程管理後臺。不過俺沒幹壞事。你說這事兒我得通知誰呢?”

　　    記者聯系到該新浪微博用戶，他真名叫殷鈞鈞，是成都一家外企的安全架構師，自稱與金山和360無任何關系，只是在金山召開新聞發布會後，出於職業敏感，想了解事件的真相。

　　    “我這裏已經過濾出來了幾百個密碼文件，沒時間一一驗證，不過都是各類管理系統後臺、論壇、郵箱。”殷鈞鈞表示，在金山披露360涉嫌泄漏用戶隱私之後，通過G oogle還能抓取到10%左右的日誌，但更早發現這一情況的人，應該下載了更多的數據。

　　    360回應

　　    含用戶名密碼的信息只有萬分之一

　　    由於元旦期間放假，記者先通過微博私信向360提出采訪要求，對方給記者發回一份官方聲明。該聲明稱：“金山公布的所謂‘360收集用戶隱私’，實為360為幫助用戶鑒別惡意網址而上傳到360雲安全中心查詢的臨時網址訪問記錄。”

　　    之所以日誌中包含一些用戶名和密碼，是因為“極少數具有安全漏洞的網站將用戶名和密碼信息編寫在網址U R L中以便傳遞給其他服務器進行身份認證。”360表示，經過統計，發現其中帶有用戶名和密碼信息的網址不到萬分之一，而且與G oogle公司核對發現，被抓取的只是少量日誌，而且目前G oogle已經刪除了這部分數據，“因此，此次事件可能導致的用戶隱私信息泄漏風險是非常有限的。”而泄漏的原因是“服務器遭到了攻擊”。

　　    到底360此次泄漏的日誌有多少?網友“小彭學SEO”在新浪微博上發文稱，一開始通過搜索能找到8000多條記錄，每條記錄大概2萬條上網數據，大約1.4億條網址記錄。如果按360“不足萬分之一”的說法，那麼也差不多有1萬條網友隱私信息存在泄漏的可能了。

　　    觀點PK

　　    金山

　　    站出來是出於用戶的安全

　　    金山網絡技術工程師李鐵軍在接受本報記者采訪時稱，這次事件與口水戰無關。“在了解到這個事件後，我們也曾經猶豫，金山如果站出來說的話是會被一些人看成競爭手段。但是，當我們分析這些數據後，我們感到很恐懼，因為這個事件對網民的影響太大了。如果我們不及時說，讓公眾知道這個危險，那整個互聯網的損失將是巨大的，所以我們最後決定站出來。這件事情的核心是用戶安全。”

　　    360

　　    金山欲抹黑360

　　    針對查詢日誌泄漏網友隱私的問題，360表示，U RL雲查詢產生的查詢日誌幾天時間就會被清除掉，而且由於360不記錄用戶的身份信息，所以並不涉及用戶隱私。這對這部分包含用戶信息的U RL，會通過定期清除的機制來保證數據安全。

　　    360認為，金山出於商業目的，通過捏造事實，無限放大事件的後果，宣稱3億網民面臨隱私信息被竊取的風險，並發布虛假的“安全預警”新聞，其目的無非是想制造公眾恐慌情緒來攻擊360，來達到推廣自己的產品的目的。

　　    網友點評

　　    過早公布漏洞違反安全原則

　　    新浪微博網友Joey_Yin認為，雖然360泄漏用戶隱私是事實，但金山第一時間召開新聞發布的做法“不夠厚道”。“安全界的原則，黑客發現這些漏洞之後第一反應應該是通知有漏洞方，避免造成用戶損失。”Joey_Yin表示，如果金山不開發布會，很多人就不會知道這個漏洞，雖然在金山看來是在通知用戶，但同時也給黑客提供了信息。如果是先通知Google刪除數據，之後再開發布會才是合適的做法。但這樣做，360彌補之後可能就不會承認了，“所以大家看的都還是利益。”