6月5日下午，烏云漏洞報(bào)告平臺(tái)發(fā)布微博稱：“發(fā)現(xiàn)微博瘋傳搜狗輸入法泄密事件，網(wǎng)友們已經(jīng)挖出了大量敏感&成人內(nèi)容！其實(shí)該漏洞烏云很久之前就接到了白帽子的報(bào)告，并且及時(shí)通知了廠商，但問題至今未得到有效的處理。搜狗輸入法可導(dǎo)致大量用戶敏感信息泄露。”被披露的漏洞出自搜狗手機(jī)輸入法中的“多媒體輸入”功能，借助這一功能，用戶能與他人分享圖片、語音、文字等信息。具體實(shí)現(xiàn)方式是：將要分享的信息上傳到搜狗服務(wù)器中，形成一個(gè)可以點(diǎn)擊查看的鏈接。

今天上午，風(fēng)口浪尖中的搜狗對泄密事件進(jìn)行了正式回應(yīng)，“搜狗手機(jī)輸入法”官方微博發(fā)表聲明稱：搜狗為相關(guān)服務(wù)設(shè)置了robots.txt協(xié)議統(tǒng)一禁止搜索引擎抓取和收錄，也與相關(guān)搜索引擎廠商溝通，取消了對分享數(shù)據(jù)的收錄，設(shè)置了更嚴(yán)格的訪問限制。搜狗在這份官方聲明中，對烏云漏洞報(bào)告平臺(tái)所披露的搜狗漏洞只字未提。此前，搜狗官方在接受新浪科技采訪時(shí)表示，用戶的“多媒體輸入”信息泄漏，與搜索引擎沒有遵守相關(guān)robots.txt協(xié)議有關(guān)，重點(diǎn)問題出在Bing搜索引擎中。而Bing也于第一時(shí)間發(fā)表聲明予以否認(rèn)：“此次搜狗旗下網(wǎng)站上的疑似隱私及不雅內(nèi)容，在各大搜索引擎上均可以搜到。截至2013年6月6日12:30分，仍然能通過一些搜索引擎搜索到。必應(yīng)搜索并未違反Robots.txt協(xié)議。”

那么，此次泄密事件究竟是誰的責(zé)任？51CTO記者就此對相關(guān)各方進(jìn)行了調(diào)查和采訪。一個(gè)月前，名為“鎮(zhèn)長”的漏洞提交者向?yàn)踉坡┒磮?bào)告平臺(tái)提交了一個(gè)關(guān)于搜狗輸入法的高危害等級(jí)漏洞，會(huì)導(dǎo)致用戶敏感信息泄露。烏云漏洞報(bào)告平臺(tái)相關(guān)負(fù)責(zé)人向記者表示，泄密事件發(fā)生后，搜狗已經(jīng)把導(dǎo)致泄密的“多媒體輸入”功能屏蔽，但搜狗對于自己早已承認(rèn)的這個(gè)漏洞，至今仍未修復(fù)。在烏云漏洞報(bào)告平臺(tái)上，從漏洞被發(fā)現(xiàn)到修復(fù)，歷經(jīng)一個(gè)多月時(shí)間還未修復(fù)的情況并不多見，一般情況下，漏洞被發(fā)現(xiàn)后一個(gè)星期內(nèi)即可修復(fù)。烏云漏洞平臺(tái)認(rèn)為，這次泄密事件是搜狗功能設(shè)計(jì)的問題所致。

烏云漏洞報(bào)告平臺(tái)是一個(gè)位于廠商和安全研究者之間的安全問題反饋平臺(tái)，在對安全問題進(jìn)行反饋處理跟進(jìn)的同時(shí)，為互聯(lián)網(wǎng)安全研究者提供一個(gè)公益、學(xué)習(xí)、交流和研究的平臺(tái)，廠商在烏云注冊時(shí)需要確認(rèn)能夠代表企業(yè)身份對安全問題及時(shí)處理和響應(yīng)。記者在該平臺(tái)上的廠商列表上，看到了搜狗的名字。

烏云漏洞報(bào)告平臺(tái)上披露的搜狗輸入法漏洞

烏云漏洞報(bào)告平臺(tái)還公開了搜狗輸入法漏洞披露的詳細(xì)狀態(tài)

#p#

針對烏云漏洞報(bào)告平臺(tái)所披露的漏洞，搜狗方面怎么看？記者就此致電搜狗，搜狗相關(guān)負(fù)責(zé)人表示，搜狗發(fā)布的官方聲明即為對此事的官方回復(fù)（搜狗產(chǎn)品沒有漏洞，也不會(huì)泄露用戶隱私）。而對記者所關(guān)心的烏云漏洞報(bào)告平臺(tái)所披露的那個(gè)漏洞，搜狗方面避而不談。

就此問題，記者對安全界有關(guān)專家進(jìn)行了采訪。得到的普遍回答是：搜狗泄密事件，本質(zhì)上還是輸入法服務(wù)商沒有對用戶采取有效的安全防護(hù)措施所致，與搜索引擎并無太大關(guān)系。一位數(shù)據(jù)安全專家表示，退一步說，就算搜索引擎不遵守搜索協(xié)定，作為服務(wù)商也不能將信息安全簡單地寄望于第三方遵守規(guī)則的基礎(chǔ)上。如果照這樣假設(shè)，世界上就不會(huì)有黑客和犯罪分子存在，也就沒有信息安全產(chǎn)業(yè)存在的必要。

通過輸入法泄露隱私，這在技術(shù)上是如何實(shí)現(xiàn)的？烏云漏洞報(bào)告平臺(tái)公開信息顯示，搜狗輸入法信息在發(fā)送過程存儲(chǔ)了相對應(yīng)的信息在云端，但由于相應(yīng)配置及其他原因造成了會(huì)話信息（圖片、視頻、音頻）泄露，由于不嚴(yán)謹(jǐn)造成信息被搜索引擎抓取。數(shù)據(jù)安全廠商北京明朝萬達(dá)科技有限公司董事長王志海告訴記者，從數(shù)據(jù)保護(hù)的角度說，數(shù)據(jù)在存入云端之前是應(yīng)該被加密的。類似搜狗這次的泄密，從技術(shù)上講比較簡單，如果采用明文方式將數(shù)據(jù)存儲(chǔ)在云中，在公開網(wǎng)站上就可能會(huì)很容易被搜索到。另外，即便被加密的數(shù)據(jù)被破解了，如果做好了訪問控制，也能對訪問數(shù)據(jù)的人員進(jìn)行控制，不該看到數(shù)據(jù)的人也看不到。對于互聯(lián)網(wǎng)服務(wù)提供商而言，要保護(hù)用戶隱私，技術(shù)上并不難實(shí)現(xiàn)，身份驗(yàn)證、后臺(tái)狀態(tài)的維持，這些都是比較成熟的通用技術(shù)。出現(xiàn)此類泄密事件，根源是對互聯(lián)網(wǎng)服務(wù)提供商對用戶隱私并不重視。

這次泄露事件也凸顯出云應(yīng)用中普遍存在的安全問題。王志海坦言，今天，安全問題仍然是云服務(wù)的一大障礙。類似搜狗輸入法這樣的泄密事件其實(shí)不是第一次發(fā)生，很多云服務(wù)商對用戶的隱私保護(hù)意識(shí)并不強(qiáng)，也不具備太深入的安全技術(shù)。他們將數(shù)據(jù)存儲(chǔ)在云端時(shí)依然是用明文口令的方式，而普通用戶對云服務(wù)商是否采取隱私保護(hù)措施也無從知曉。

很多時(shí)候，個(gè)人用戶自身的安全意識(shí)也并不太強(qiáng)，互聯(lián)網(wǎng)服務(wù)提供商是否具有足夠的隱私保護(hù)措施似乎并不那么重要，但一旦個(gè)人的不安全行為習(xí)慣延伸到企業(yè)，結(jié)果就不同了。賽門鐵克最近與PonemonInstitute聯(lián)合發(fā)表的數(shù)據(jù)泄露研究報(bào)告表明，大部分?jǐn)?shù)據(jù)泄露是由雇員對機(jī)密數(shù)據(jù)的誤操作和系統(tǒng)錯(cuò)誤所引發(fā)。

如何解決云服務(wù)的安全問題？王志海認(rèn)為，首先是要建立健全相關(guān)法律法規(guī)，倒逼相關(guān)服務(wù)商增強(qiáng)對用戶的隱私保護(hù)意識(shí)以達(dá)到合規(guī)要求；其次是云服務(wù)商需要對安全有更多了解，建立安全團(tuán)隊(duì)或引入第三方安全團(tuán)隊(duì)；另外，相關(guān)問題還應(yīng)該得到足夠的重視，如：在云服務(wù)中的應(yīng)用正變得越來越普及，存在云中的企業(yè)商業(yè)機(jī)密也會(huì)越來越多，云服務(wù)一旦被黑客攻破，被泄露的就不只是用戶密碼這么簡單了。