11月5日上午,有网友在专业技术卡饭论坛上称,使用QQ帐号登录搜狗浏览器,可以查看到数千其他用户的个人账号,包括QQ、邮箱、支付宝、银行等涉及用户财产的账户信息,甚至可以直接进入其他人的支付宝进行转账购物,甚至直接支付交易。
在搜狗浏览器智能填表里保存了大量的网站密码,涉及淘宝、微博、网易和QQ邮箱。甚至可以进入淘宝账户进行网购交易。
漏洞被用户发现后,大量用户进行了验证并微博举报,分别发现了淘宝、国家质检总局、南昌大学、江苏烟草专卖局、网易邮箱、丁香园、神州租车、人人网、合肥市住房公积金管理中心等多个机构的账户被泄露。
下午15:53分,搜狗在其官方微博上矢口否认漏洞的存在,不过6分钟后,著名的漏洞报告平台发布报告,确认了该漏洞的存在,乌云报告“搜狗浏览器存在重大安全漏洞,可以直接登陆数千账户”,称该漏洞类型为“网络敏感信息泄露”,危害等级为“高”,乌云称已将漏洞报告给了搜狗。
乌云是与CNCERT/CC(国家计算机网络应急技术处理协调中心)、国家信息安全漏洞共享中心等国家权威机构深度合作的专业漏洞报告平台,其平台上已经报告的数百个漏洞中无一错报。
长城中电安全测试实验室主任陈亮称,用户信息泄露后也有个黄金8小时,如果及时通知用户,有效修改相关密码和账户,可以帮助用户弥补漏洞,最大限度地避免不必要的损失。
搜狗公开否认漏洞的存在,将使相关用户不能及时修补漏洞,错失黄金8小时,造成财产损失和不必要的隐私泄露。