26日晚间,乌云漏洞报告平台发布消息称,有白帽子发现360安全漏洞,并将漏洞细节秘密通报360。360安全卫士官方微博回应称,该漏洞已在接到漏洞报告后一小时内完成修复,确保漏洞不被恶意攻击者利用。同时360公开感谢乌云白帽子帮助360完善产品,并欢迎安全研究人员通过360安全漏洞响应平台提交漏洞,可以根据漏洞评级、影响范围得到相应的现金奖励。360安全漏洞响应平台网址:http://vulreport.360.cn
以下为360回应全文:
11月26日下午,360接到乌云漏洞报告平台提交的一个“密码找回”漏洞。也就是说,当黑客攻击者知道你的注册邮箱用户名的前提下,可以利用“密码找回”操作,将密码重置为黑客设定的密码。
360对此漏洞反馈非常重视,并立即组织相关业务部门紧急修复,一小时内完成了漏洞修复。经过排查,该漏洞是近日网站程序更新出现的错误,在此我们要感谢乌云白帽子JiuShao帮助360发现这个漏洞。
另外我们也注意到,一些营销帐号恶意歪曲此漏洞信息,散布不实言论,在此我们澄清如下:
一、由于漏洞由乌云平台通报360,漏洞细节至今未公开,并不存在漏洞被恶意攻击者大规模利用的情况;
二、360全面排查存在异常的“密码找回”操作,共发现可能有风险的16个帐号,已全部做冻结帐号处理,并提示相关用户根据密保措施重新设置密码;
三、所谓“360高管均不用360产品”纯属无稽之谈,工作邮箱不用于注册帐号是基本的安全常识。
有漏洞不丢人,不承认漏洞才丢人!为了鼓励安全研究人员报告漏洞,360自2012年5月推出安全漏洞响应平台,是国内首家现金奖励漏洞报告者的互联网公司。我们也欢迎技术大牛们向360提交漏洞,帮助我们共同保护4亿多用户的上网安全。拜谢各位!