三天两爆:360承认老漏洞 又被曝出新漏洞
11月28日消息,自360账户曝出存在“任意用户密码修改”漏洞后,乌云漏洞平台再次有白帽子披露“360云盘客户端权限设置不当”漏洞,影响所有使用360云盘的客户,据悉,在某些情况下,用户存储在360云盘中的所有内容均会暴露,可以被随意浏览及下载,造成严重的隐私泄露。
相关网络安全专家对此表示担忧,称“在某些情况下,黑客可利用此漏洞可在360用户的云盘中为所欲为,360云盘用户存在被其他人轻易窥探甚至随意改变其云盘中内容的危险。建议用户在360未修补漏洞之前将云盘中相关重要信息及时转移,以免造成不必要的损失。”截至目前,360还尚未对此漏洞给出任何回应与解释。
此前在26号,乌云漏洞平台在微博上披露,发现360账号系统存在“任意用户密码修改”漏洞,属于本可避免的“设计缺陷/逻辑错误”, 使用360账号保存过的电话、短信、记录以及云盘中的私人文件均有可能被被随意浏览下载。此项漏洞波及360手机卫士、360云盘、360浏览器云同步等奇虎360旗下多款网络应用和安全类产品,波及面之广史无前例,动摇了网民对360产品安全性的信任。
包括“龙岩公安博警在线”在内的多地公安已发布警示微博,提醒网民注意安全。安全技术人员则建议,在360彻底杜绝漏洞潜在威胁之前,应尽快更新和修改个人密码,降低篡改可能;其次,清空或者转移全部通过360账户保存的历史资料和云端信息; “当然,最稳妥的方式还是在事件明朗之前,慎用360相关产品。”