都怪搜索引擎

6月5日,搜狗输入法可导致大量用户敏感信息泄露的一则消息被某技术站点公开。搜狗移动输入法将用户隐私数据如图片、视频、音频上传到云端,由于网站安全设计问题,它没有屏蔽搜索爬虫的索引,导致许多用户的私人消息泄露。

loudong

安全研究人员从搜狗的pinyin.cn网站上发现了身份证、裸体照,甚至检举信。目前pinyin.cn已经关闭了外部访问。但问题是为什么搜狗要保存这些个人隐私数据?除了移动版外,它的桌面版是否也有类似的上传私人数据功能?

发布该漏洞的 @乌云-漏洞报告平台 称很久之前就接到了技术人员的报告,并且及时通知了厂商,但问题至今未得到有效的处理。上述所谓的漏洞,出自搜狗手机输入法中的“多媒体输入”功能。借助这一去年5月发布的功能,用户之间能够分享图片、语音、文字等信息,而其原理就是将用户想要分享的信息,上传到搜狗服务器中,形成一个可以点击查看的链接。在这种模式下,任何人知道相关内容的存储地址,就能点击查看。网址成为防止用户隐私外泄的主要“城墙”,然而这对于搜索引擎来说,翻过去易如反掌。

7c1ee563705ee3594

对此搜狗方面回应称,出现这一问题源于微软Bing等搜索引擎没有遵守禁止协议。搜狗官方在接受新浪科技连线时表示,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关robots.txt协议有关。并且指出重点问题处在Bing搜索引擎中,且搜狗已经与Bing一直在沟通解决相关问题。上述robots.txt协议,是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。至截稿时,通过搜索引擎已经不能查看搜狗输入法“多媒体输入”中的内容,但是在Bing中还能够搜索到相应的网址。对于已经泄漏的网址,搜狗方面已经进行了紧急处理,官方也强调用户上传的内容不会进行长时间的保留。

来源:奇客资讯  新浪科技