360一年内被爆两次相同重大漏洞用户密码可随意修改

日期：2013-11-27 作者：admin 来源：中国财富网推荐：股民学院

　11月26日，乌云漏洞平台在微博上披露，有白帽子发现360账号系统存在“任意用户密码修改”漏洞，使用360账号保存过的电话、短信、记录以及云盘中的私人文件均有可能被被随意浏览下载。而此漏洞在2012年6月份已被网友爆出过，属于“设计缺陷/逻辑错误”，也就是说在设计之初完全可以避免。但不知为何，此漏洞一年内被爆出两次。了解消息后的网友纷纷表示出对360安全品质的不信任，若360不能给网民一个清楚的交代，很有可能引发新一轮360软件的卸载狂潮。

目前360已确认该漏洞存在，但作为互联网业的“安全教主”居然被爆出自身系统设计存在设计缺陷，引来不少用户评论。微博用户“老绵羊1984”质问到：“网民的隐私，安全谁来保证”，ID“运筹帷幄”表示“太可怕了”。还有网友调侃到：“@360技术支持，需要弹窗提示用户一下不？？？”

一直以来，360站在“用户安全和隐私”的道德制高点上，攻击其他互联网厂商。然而从日前所爆出的漏洞来看，完全可以在设计之初就避免，这让360所谓“捍卫用户隐私”的形象一夜之间成为皇帝的新衣。

同类漏洞连续被爆，专家建议尽快清除数据

在对360的相关漏洞历史略加调查后，一条记录引起了记者注意：就在一年前（2012年）的6月，360就曾在乌云网上被爆出类似漏洞，相关的漏洞题目、类型，竟然与本次所发现的惊人地相似！

2012年6月漏洞与2013年11月漏洞概要对比

究竟是东墙补好西墙又塌？还是360真的在同一问题上再次被曝？目前尚不得而知，在获知该漏洞的存在后，记者第一时间联系了从事安全领域的技术人员，他们分析认为，360通行证密码找回功能存在逻辑设计缺陷，重设密码url中存在可伪造的随机码。此随机码以Uunix时间戳为基准生成，但并未采用动态密匙加密，任何掌握此规律的人都可以据此破解“重设密码”的url，并修改任意账号的密码，从而直接进入用户账户，访问所有保存在360账户下的资料。这不仅包括可能导致“冠希化”的通讯录资料和短信往来记录，更包括用户的各种账号和对应的密码信息，进而为盗窃、诈骗等大开方便之门，形成恶劣的经济隐患，堪称“开门揖盗”。技术人员称，出于安全考虑，在问题解决之前，用户应至少清除所有保存在360账户中的历史资料，以避免造成隐私或财产的重大损害。

今天注册360，明天就变陈冠希

“揭露演艺圈荒淫乱象就靠360啦！！”在对360重大新漏洞的爆料中，网友以这样的口吻着实调侃了一番。俨然有“今天注册360，明天就变陈冠希”的意味。然而，360所存在的这一系统级漏洞，实际危害则远不止如此。

看上去360还有可能为反腐败提供“巨大”的帮助

在微博爆料中，网友笑称发现360高管都不用自家产品，乍一看莞尔，细想之下，却觉水比想象的要深。一家IT厂商的产品连续两年被爆出存在同种漏洞，不仅反映出技术实力“后腿”，更显示出态度上的淡漠——用户有什么，何必那么费心？如此运营，令用户寒心，同行齿冷，如乌云网官方就对360的此次“再爆漏洞”表示：“对于那些只想掩盖安全漏洞而不是真正解决安全漏洞的厂商来说，乌云君只能是深深的鄙视......”