近日,網絡頻爆各網站用戶賬號密碼泄露,參與CSDN密碼庫傳播的金山員工“泄密門”更是引起軒然大波。事發后,金山公司上線名為“密碼泄露快速查詢”頁面,但隨即被媒體指出金山涉嫌非法持有用戶數據,并質疑該查詢服務的合法性。與此同時,《網站分析基礎教程》作者、資深安全專家孫立東認為,“金山密碼查詢服務”存在重大安全漏洞隱患,可能引發更大范圍的賬戶泄露。
孫立東在分析金山密碼查詢服務網站后表示,“未加密HTTP傳輸會引發更嚴重的賬戶泄露,呼吁大家立即停止使用密碼泄露快速查詢,防止更大范圍的賬戶泄露!”
金山密碼泄露快速查詢存在重大安全隱患
據了解,如果用戶通過金山查詢網頁輸入賬號,那么未經加密的數據將很有可能被黑客通過HTTP嗅探器多次截取,從而造成泄密。同時也不排除金山服務端收集用戶信息的可能,如果金山服務器被攻破,后果不堪設想。
網站分析基礎教程》作者孫立東微博質疑
對此,專家也對金山該查詢網站的設計漏洞提出了具體問題:
1. 身為安全軟件公司,是否知道未經SSL加密的HTTP傳輸時不安全的,可能導致更大范圍賬戶泄露;
2. 是否在后臺手機用戶輸入的賬戶信息?Apache的Log中是否輸出用戶表單?
3. 如果技術內涵服務器被攻克,Apache的Log被下載,引發跟大范圍的賬戶泄露情何以堪?
截止記者發稿,金山該服務網站仍在運行中,而且尚未對以上問題做出解釋。
推薦閱讀
繼分眾傳媒高調駁斥“渾水”質疑之后,奇虎360在進行中國概念股的又一次奮起反擊。 股價下跌、破發、停牌甚至退市,這是今年以來中國概念股在美國資本市場的普遍遭遇,然而,也有例外。 在短短一個多月內與美國做空機>>>詳細閱讀
地址:http://m.sdlzkt.com/a/guandian/yejie/20111230/170729.html
網友點評
精彩導讀
科技快報
品牌展示