“竊取”實無罪 “泄露”有責任

        歲末年初之際，互聯網業內再爆口水戰，金山稱“360泄露用戶隱私”，360公司反指“金山搜集用戶隱私”。此事雖因工信部的介入，暫時偃旗息鼓，但當事雙方究竟誰對誰錯仍然成謎。為此，互聯網安全專家朱易（化名）專門研究了雙方的證據，他認為360和金山被曝光的“搜集用戶隱私行為”屬於基本合理範疇，雙方的軟件用戶可以繼續放心使用，反而雙方互相的攻擊和指責卻略顯牽強，甚至有蓄意之嫌。

        第一回合：金山“攻擊”360

        2010年12月31日，金山率先出招，稱360的服務器upload.360safe.com泄露了用戶的隱私，用戶的用戶名密碼可通過Google等搜索引擎搜到，號召用戶卸載360。對此，2011年1月2日，360回應，這些記錄被Google抓取，是因為360存儲網址雲安全查詢日誌的一臺內部服務器遭到了攻擊，使得原本無法被搜索引擎抓取的日誌數據被Google的蜘蛛抓取到了少量數據。

        朱易認為，360確實會將用戶上過的所有網頁都記錄下來，不過這麼做的初衷並沒有錯，這些信息被用來鑒別用戶所登錄網站的安全性，比如網站是否掛馬等等，這並不算惡意收集。可是，這些信息竟然可以被谷歌搜索引擎找到，360在用戶隱私信息的傳輸和保護上有不可推卸的責任。

        朱易親自操作，確實在谷歌上找到了大量用戶隱私信息，比如大量移動BOSS（業務運營支撐）系統密碼等等，例如網站管理員從數據庫下載一些BAK、RAR文件供工作之用，這些信息都會被360采集下來。

雖然鑒別網站安全性的用意沒有錯，但收集如此大量的用戶信息是否過火，朱易表示仍有待商榷。另外，360還有義務確保這部分信息的絕對安全，而造成大量隱私泄露，後果很嚴重。

        第二回合：360“反擊”金山

        1月4日360“反擊”，其向媒體表示，已掌握大量經過公證的證據，顯示通過百度等各大搜索引擎，可以搜索到大量金山從用戶電腦上傳的網址記錄，其中不乏用戶名和密碼等隱私信息。

        金山對此溫和回應，pc120網站涉及的網址信息，都來源於用戶主動提交和互聯網上的公開網址。

朱易表示，360對PC120即金山安全中心問題曝光多少有些牽強。

        首先，金山泄露的隱私信息數量遠遠不及幾天前360的情況。其次，金山安全中心的功能是鑒定網友和用戶主動上傳的網址鏈接是否安全，從而建立一個惡意網址庫，而用戶提出的網址鏈接中難免會有一些明碼用戶密碼之類的信息，這部分信息可能一起被保存了下來。從這點來看，金山的做法並沒有什麼問題，且不具備普遍性。