2010年12月31日，金山召開發(fā)布會(huì)，稱“360侵犯用戶隱私”，隨后全網(wǎng)彈窗發(fā)布“一級(jí)安全預(yù)警”，稱上億用戶名和密碼外泄，讓網(wǎng)民卸載360。2011年1月1日，針對(duì)金山公布的360涉嫌搜集用戶隱私的發(fā)布會(huì)，360作出詳細(xì)聲明，對(duì)此事進(jìn)行回應(yīng)。

以下為360聲明全文：

12月31日，金山召開發(fā)布會(huì)，將360遵循安全行業(yè)的通用規(guī)則進(jìn)行可疑網(wǎng)址查詢的行為稱為“360侵犯用戶隱私”，隨后又全網(wǎng)彈窗發(fā)布所謂“一級(jí)安全預(yù)警”，稱“上億用戶名和密碼外泄”，以此制造恐慌，誘導(dǎo)網(wǎng)民卸載360。

金山針對(duì)360的不實(shí)指責(zé)，是因?yàn)槌鹨?60取得的近80%的市場(chǎng)地位。360安全衛(wèi)士從2006年7月發(fā)布以來，堅(jiān)持技術(shù)創(chuàng)新和模式創(chuàng)新，堅(jiān)持永久免費(fèi)，得到網(wǎng)民的極大歡迎。而金山公司的商業(yè)利益受到360免費(fèi)安全的沖擊后，想方設(shè)法打擊360。在微點(diǎn)冤案中提供虛假證據(jù)被360曝光后，金山公司更是對(duì)360懷恨在心。

在近期的3Q之戰(zhàn)中，金山公司的丑陋表演更是人所共知。金山先是聯(lián)合其他公司組成反360聯(lián)盟。在騰訊宣布“二選一”之后，金山又聯(lián)合其他公司組成所謂的“不兼容聯(lián)盟”，試圖擴(kuò)大“二選一”事件，繼續(xù)傷害廣大用戶。在“不兼容聯(lián)盟”無疾而終之后，金山公司又刻意制造了此次事件。

因此，金山公司制造所謂“360侵犯用戶隱私”，正是3Q之戰(zhàn)的一個(gè)延續(xù)。

我們現(xiàn)將此事件的事實(shí)說明如下：

第一、金山公布的所謂“360收集用戶隱私”，實(shí)為360為幫助用戶鑒別惡意網(wǎng)址而上傳到360云安全中心查詢的臨時(shí)網(wǎng)址訪問記錄。360建立了國內(nèi)最大的惡意網(wǎng)址庫，當(dāng)用戶訪問某個(gè)網(wǎng)頁時(shí)，360軟件會(huì)把用戶訪問的網(wǎng)址和360云安全中心的惡意網(wǎng)址庫進(jìn)行比對(duì)，以鑒別和攔截掛馬、釣魚、欺詐等惡意網(wǎng)頁。

360沒有收集任何的用戶名和密碼信息，實(shí)際情況是極少數(shù)具有安全漏洞的網(wǎng)站將用戶名和密碼信息編寫在網(wǎng)址URL中以便傳遞給其服務(wù)器進(jìn)行身份認(rèn)證，而360軟件在通過惡意網(wǎng)址庫云查詢這些URL網(wǎng)址時(shí)，并不會(huì)主動(dòng)去識(shí)別其中的用戶名和密碼，因此會(huì)在網(wǎng)址云安全查詢?nèi)罩局杏涗涍@些URL。

360網(wǎng)址云查詢功能已在360的《用戶隱私保護(hù)白皮書》中公開說明，用戶也可以方便地關(guān)閉網(wǎng)址云查詢功能。

360軟件通過云查詢來識(shí)別和攔截用戶可能訪問的惡意網(wǎng)頁，目前這是包括金山自己在內(nèi)的國內(nèi)外安全軟件對(duì)惡意網(wǎng)址攔截采用的通用機(jī)制，并不會(huì)侵犯用戶隱私。經(jīng)過我們驗(yàn)證，金山軟件的云查詢功能同樣也會(huì)將包含用戶名和密碼的網(wǎng)址上傳給金山的服務(wù)器。

第二、經(jīng)過我們對(duì)網(wǎng)址云安全查詢?nèi)罩镜慕y(tǒng)計(jì)，發(fā)現(xiàn)其中帶有用戶名和密碼信息的網(wǎng)址不到萬分之一。另外，經(jīng)過我們與Google公司的核對(duì)，出現(xiàn)在其搜索結(jié)果中的360網(wǎng)址云安全查詢?nèi)罩緮?shù)據(jù)極其少量，并且Google已經(jīng)刪除了這部分?jǐn)?shù)據(jù)。因此，此次事件可能導(dǎo)致的用戶隱私信息泄漏風(fēng)險(xiǎn)是非常有限的。

第三、導(dǎo)致此次事件的原因，是因?yàn)?60存儲(chǔ)網(wǎng)址云安全查詢?nèi)罩镜囊慌_(tái)內(nèi)部服務(wù)器遭到了攻擊，使得原本無法被搜索引擎抓取的日志數(shù)據(jù)被Google的蜘蛛抓取到了少量數(shù)據(jù)。經(jīng)與Google搜索結(jié)果核對(duì)，我們發(fā)現(xiàn)一部分能在Google中搜索到，一部分在Google中搜索不到。我們正在調(diào)查，金山公司是通過何種途徑得到放在360服務(wù)器上的惡意網(wǎng)頁攔截日志的。

我們認(rèn)為，金山出于商業(yè)目的，通過捏造事實(shí)，無限放大事件的后果，宣稱3億網(wǎng)民面臨隱私信息被竊取的風(fēng)險(xiǎn)，并發(fā)布虛假的“安全預(yù)警”新聞，其目的無非是想制造公眾恐慌情緒來攻擊360，來達(dá)到推廣自己的產(chǎn)品的目的。

360自2006年創(chuàng)立以來，一直堅(jiān)持用戶利益至上，堅(jiān)持免費(fèi)安全的理念，但四年以來一直遭遇到各種勢(shì)力的誣蔑和打擊。但360堅(jiān)持免費(fèi)安全不動(dòng)搖，堅(jiān)持用戶利益至上不動(dòng)搖。過去是這樣，將來也是如此。我們也將用更好、更高品質(zhì)的免費(fèi)安全產(chǎn)品，竭誠為3億用戶服務(wù)。

附：360網(wǎng)盾攔截木馬、掛馬和欺詐釣魚網(wǎng)站的技術(shù)原理

1、360url云查詢技術(shù)是什么？

答：360url云查詢技術(shù)是云計(jì)算在攔截惡意網(wǎng)址上的技術(shù)創(chuàng)新，已經(jīng)被國內(nèi)外安全廠商廣泛采用。

在用戶瀏覽網(wǎng)頁的時(shí)候，平均有5%的概率會(huì)遭到來自網(wǎng)頁的惡意攻擊。這些惡意攻擊包括木馬網(wǎng)站、掛馬網(wǎng)站和欺詐釣魚網(wǎng)站在內(nèi)的14類攻擊，網(wǎng)民的電腦資源、隱私信息和虛擬財(cái)產(chǎn)面臨威脅。360采用云計(jì)算的技術(shù)，建立了實(shí)時(shí)更新的惡意網(wǎng)址數(shù)據(jù)庫，用戶瀏覽網(wǎng)頁時(shí)輸入或者點(diǎn)擊的URL網(wǎng)址會(huì)實(shí)時(shí)與360的云安全服務(wù)器的惡意網(wǎng)址數(shù)據(jù)庫比對(duì)，來判斷該網(wǎng)址是否為惡意掛馬或釣魚欺詐網(wǎng)頁。

根據(jù)360安全中心2010年的統(tǒng)計(jì)數(shù)據(jù)，360平均每天攔截木馬、掛馬網(wǎng)站的攻擊4000萬次，攔截虛假中獎(jiǎng)、虛假彩票、虛假炒股、假冒銀行等欺詐網(wǎng)站的攻擊3000萬次。

360網(wǎng)址云查詢的功能，在《360用戶隱私保護(hù)白皮書》中有明確和公開的描述，詳見：http://www.#/privacy/360wd.html，用戶可以方便地開啟和關(guān)閉這個(gè)功能。

2、URL云查詢的日志數(shù)據(jù)中，會(huì)包含用戶名和密碼嗎？

答：URL是"統(tǒng)一資源定位器（UniformResourceLocator:URL）"。通俗點(diǎn)說，它是用來指出某一項(xiàng)信息所在位置及存取方式。比如我們要上網(wǎng)訪問某個(gè)網(wǎng)站，在IE或其它瀏覽器里的地址一欄中所輸入的就是URL。

極少數(shù)網(wǎng)站在用戶登錄時(shí)，會(huì)將用戶名和密碼直接編寫在URL網(wǎng)址中，傳送給服務(wù)器進(jìn)行身份驗(yàn)證。而360網(wǎng)盾和其它國內(nèi)外安全軟件一樣，只查詢URL網(wǎng)址，而不會(huì)主動(dòng)去識(shí)別其中的用戶名和密碼。

把用戶名和密碼直接編在URL網(wǎng)址中的技術(shù)機(jī)制是不安全的，我們建議這些網(wǎng)站盡快修正。

3、URL云查詢的日志數(shù)據(jù)中，會(huì)包含SQL數(shù)據(jù)庫的用戶名和密碼嗎？

答：黑客/木馬程序可能會(huì)構(gòu)造SQL語句并加在URL中對(duì)網(wǎng)站數(shù)據(jù)庫發(fā)起攻擊，這種攻擊請(qǐng)求會(huì)被360網(wǎng)盾截獲，因此在日志數(shù)據(jù)中會(huì)看到極少量的SQL語句。如果攻擊指令是試圖建立數(shù)據(jù)庫連接的SQL語句，就會(huì)包含數(shù)據(jù)庫的用戶名和密碼。一般情況下正常的網(wǎng)址URL不會(huì)包含SQL語句，如果包含SQL基本上就是黑客或木馬程序發(fā)起的SQL攻擊。

4、用于云查詢的url數(shù)據(jù)，會(huì)存儲(chǔ)在360的服務(wù)器上嗎？

答：url云查詢過程中會(huì)產(chǎn)生查詢?nèi)罩?，也就?60安全中心會(huì)把被查詢的網(wǎng)址記錄下來，通過對(duì)查詢?nèi)罩镜慕y(tǒng)計(jì)來獲取惡意網(wǎng)址的變化動(dòng)態(tài)，但是這個(gè)日志過幾天就會(huì)被清除掉。

因?yàn)槲覀儾挥涗浻脩舻纳矸菪畔?，所以這些url數(shù)據(jù)通常情況下不涉及用戶的隱私。對(duì)于不足萬分之一的極少數(shù)包含用戶名信息的url，通過定期清除的機(jī)制保證他們的安全。

5、url云查詢?nèi)罩緮?shù)據(jù)中的MID涉及用戶隱私嗎？

答：電腦標(biāo)識(shí)碼術(shù)語稱為MID，MID是通過不可逆的隨機(jī)算法生成的一個(gè)隨機(jī)字符串，不可能反向推導(dǎo)出用戶電腦的任何信息，因此并不涉及用戶隱私信息。統(tǒng)計(jì)MID僅僅是為了知道有多少用戶受到了同一個(gè)掛馬網(wǎng)站的侵害，這不僅僅是安全軟件公司，同時(shí)也是客戶端軟件常用的統(tǒng)計(jì)方法。

6、其他安全公司也采用url云查詢技術(shù)嗎？

答：盡管url云查詢技術(shù)是360利用云計(jì)算的創(chuàng)新，但是由于它很好地解決了惡意網(wǎng)址攔截問題，已經(jīng)廣泛被國內(nèi)外安全公司采用。金山、諾頓都有同樣的云查詢功能。

7、360網(wǎng)盾的URL查詢數(shù)據(jù)為什么會(huì)在搜索引擎上被搜索到？

答：我們正在調(diào)查。金山公布一些所謂“360泄露用戶數(shù)據(jù)”的證據(jù)，我們初步驗(yàn)證，金山公布的數(shù)據(jù)中只有少部分能在Google上搜索到，大部分?jǐn)?shù)據(jù)掌握在金山公司手里，我們正在調(diào)查，金山公司是通過何種途徑得到放在360服務(wù)器上的惡意網(wǎng)頁攔截日志的

此外，在Google上的數(shù)據(jù)非常少，出于保護(hù)用戶隱私角度，Google已經(jīng)刪除了這些數(shù)據(jù)。

8、upload.360safe.com是什么？

答：這是我們對(duì)應(yīng)功能服務(wù)器的域名，主要用于接受360網(wǎng)盾客戶端的URL云查詢，然后再和惡意網(wǎng)址庫做比對(duì)。

9、360將如何杜絕用戶數(shù)據(jù)泄露問題？是否會(huì)改進(jìn)產(chǎn)品？

答：360一直以用戶為中心，我們會(huì)持續(xù)改進(jìn)產(chǎn)品，為用戶提供更多實(shí)用的功能，帶去更好的產(chǎn)品體驗(yàn)。