360工程师利用漏洞谋私 用户担心"守夜人"监守自盗

铅笔小星

最近一篇新闻引起了用户对360安全卫士的担忧。事情原委是这样的：奇虎公司（也就是360）两名工程师利用北京市政一卡通系统漏洞，恶意充值2600余元，被警方抓获，两人近日被判处盗窃罪。

奇虎9月25日在自己的官方微博上发布的声明称，此事的起因是奇虎技术部门发现一卡通有漏洞并向上汇报后，受有关部门委托对漏洞进行研究，然后参与研究的杨、林二人“没有能够抵制住诱惑，充值后私下进行消费”。

这一声明引发了用户的普遍担忧：自己对360的极大信任是否过于盲目——今天360的工程师能利用一卡通的漏洞为自己牟利，明天他们也许就会利用用户的安全问题来满足一己私欲？

用户的担忧并不是没有道理，360暴露出安全隐患并非一朝一夕。去年底，同时在多个安全论坛、贴吧和QQ群中都出现用户反映用谷歌搜索“upload.360safe.com”就可以公开下载大量使用过360的互联网用户的邮箱、各种网站登录账户及其密码、网上行为路径、搜索关键字、身份信息、姓名、住址、手机号、企业、机关的内网信息等等隐私资料和账户信息。

谷歌收录的肯定只是泄露数据的一部分，至今除了360没人知道究竟有多少用户资料落入了第三方手中，仅从互联网上公布的案例，就有奇瑞汽车的某工厂出口零件到货计划、中国长江三峡集团公司的2010年度干部工作情况进行考核的通知和2011年预算、安徽蒙城1.7万名小学生个人信息、某大型物流公司的人力资源详表、广西某物流公司的内部管理系统、某用户去年12月8日至20日间访问淘宝购物、QQ空间等在内的网上行为和账户密码详细记录等等。

这种泄密的危害性毋庸置疑。我们可能因此失去自己的网络身份、虚拟财产、甚至泄露重大商业机密。有安全专家通过360在2010年底曝出的这个重大漏洞找到携程某代理商的身份信息进入它的携程管理后台，并过滤出几百个密码文件。他感叹道：“不得不说，360的这个漏洞足以让黑客把中国互联网的初级用户一夜之间洗劫一空……”

对公司而言，安全可能是一个技术问题。但对用户而言，选择哪个安全产品归根结底就是选择哪个品牌的问题。

如果说去年的安全隐患，让用户只是对360监守自盗产生了担忧。那刚刚宣判的“工程师案件”就让监守自盗变成了冷冰冰的事实。

正如一位用户在微博上发表的想法：“个人不理解的是，360是受委托对这个漏洞进行研究，这跟用户使用360的软件没有本质的区别，都是委托360对我们进行保护，但是结果如何呢？360的工程师会利用漏洞充值，会不会在软件里加入后门窃取用户信息甚至绑架用户呢？”而另一位微博网友更是直截了当地说，“谁的电脑和我一样也安装了360同时还在用支付宝、网上银行的。太恐怖了！！！！ 我要马上卸载！！”