6月5日下午，烏云漏洞報告平臺發(fā)布微博稱：“發(fā)現(xiàn)微博瘋傳搜狗輸入法泄密事件，網友們已經挖出了大量敏感&成人內容！其實該漏洞烏云很久之前就接到了白帽子的報告，并且及時通知了廠商，但問題至今未得到有效的處理。搜狗輸入法可導致大量用戶敏感信息泄露。”被披露的漏洞出自搜狗手機輸入法中的“多媒體輸入”功能，借助這一功能，用戶能與他人分享圖片、語音、文字等信息。具體實現(xiàn)方式是：將要分享的信息上傳到搜狗服務器中，形成一個可以點擊查看的鏈接。

今天上午，風口浪尖中的搜狗對泄密事件進行了正式回應，“搜狗手機輸入法”官方微博發(fā)表聲明稱：搜狗為相關服務設置了robots.txt協(xié)議統(tǒng)一禁止搜索引擎抓取和收錄，也與相關搜索引擎廠商溝通，取消了對分享數據的收錄，設置了更嚴格的訪問限制。搜狗在這份官方聲明中，對烏云漏洞報告平臺所披露的搜狗漏洞只字未提。此前，搜狗官方在接受新浪科技采訪時表示，用戶的“多媒體輸入”信息泄漏，與搜索引擎沒有遵守相關robots.txt協(xié)議有關，重點問題出在Bing搜索引擎中。而Bing也于第一時間發(fā)表聲明予以否認：“此次搜狗旗下網站上的疑似隱私及不雅內容，在各大搜索引擎上均可以搜到。截至2013年6月6日12:30分，仍然能通過一些搜索引擎搜索到。必應搜索并未違反Robots.txt協(xié)議。”

那么，此次泄密事件究竟是誰的責任？51CTO記者就此對相關各方進行了調查和采訪。一個月前，名為“鎮(zhèn)長”的漏洞提交者向烏云漏洞報告平臺提交了一個關于搜狗輸入法的高危害等級漏洞，會導致用戶敏感信息泄露。烏云漏洞報告平臺相關負責人向記者表示，泄密事件發(fā)生后，搜狗已經把導致泄密的“多媒體輸入”功能屏蔽，但搜狗對于自己早已承認的這個漏洞，至今仍未修復。在烏云漏洞報告平臺上，從漏洞被發(fā)現(xiàn)到修復，歷經一個多月時間還未修復的情況并不多見，一般情況下，漏洞被發(fā)現(xiàn)后一個星期內即可修復。烏云漏洞平臺認為，這次泄密事件是搜狗功能設計的問題所致。

烏云漏洞報告平臺是一個位于廠商和安全研究者之間的安全問題反饋平臺，在對安全問題進行反饋處理跟進的同時，為互聯(lián)網安全研究者提供一個公益、學習、交流和研究的平臺，廠商在烏云注冊時需要確認能夠代表企業(yè)身份對安全問題及時處理和響應。記者在該平臺上的廠商列表上，看到了搜狗的名字。

烏云漏洞報告平臺上披露的搜狗輸入法漏洞

烏云漏洞報告平臺還公開了搜狗輸入法漏洞披露的詳細狀態(tài)

#p#

針對烏云漏洞報告平臺所披露的漏洞，搜狗方面怎么看？記者就此致電搜狗，搜狗相關負責人表示，搜狗發(fā)布的官方聲明即為對此事的官方回復（搜狗產品沒有漏洞，也不會泄露用戶隱私）。而對記者所關心的烏云漏洞報告平臺所披露的那個漏洞，搜狗方面避而不談。

就此問題，記者對安全界有關專家進行了采訪。得到的普遍回答是：搜狗泄密事件，本質上還是輸入法服務商沒有對用戶采取有效的安全防護措施所致，與搜索引擎并無太大關系。一位數據安全專家表示，退一步說，就算搜索引擎不遵守搜索協(xié)定，作為服務商也不能將信息安全簡單地寄望于第三方遵守規(guī)則的基礎上。如果照這樣假設，世界上就不會有黑客和犯罪分子存在，也就沒有信息安全產業(yè)存在的必要。

通過輸入法泄露隱私，這在技術上是如何實現(xiàn)的？烏云漏洞報告平臺公開信息顯示，搜狗輸入法信息在發(fā)送過程存儲了相對應的信息在云端，但由于相應配置及其他原因造成了會話信息（圖片、視頻、音頻）泄露，由于不嚴謹造成信息被搜索引擎抓取。數據安全廠商北京明朝萬達科技有限公司董事長王志海告訴記者，從數據保護的角度說，數據在存入云端之前是應該被加密的。類似搜狗這次的泄密，從技術上講比較簡單，如果采用明文方式將數據存儲在云中，在公開網站上就可能會很容易被搜索到。另外，即便被加密的數據被破解了，如果做好了訪問控制，也能對訪問數據的人員進行控制，不該看到數據的人也看不到。對于互聯(lián)網服務提供商而言，要保護用戶隱私，技術上并不難實現(xiàn)，身份驗證、后臺狀態(tài)的維持，這些都是比較成熟的通用技術。出現(xiàn)此類泄密事件，根源是對互聯(lián)網服務提供商對用戶隱私并不重視。

這次泄露事件也凸顯出云應用中普遍存在的安全問題。王志海坦言，今天，安全問題仍然是云服務的一大障礙。類似搜狗輸入法這樣的泄密事件其實不是第一次發(fā)生，很多云服務商對用戶的隱私保護意識并不強，也不具備太深入的安全技術。他們將數據存儲在云端時依然是用明文口令的方式，而普通用戶對云服務商是否采取隱私保護措施也無從知曉。

很多時候，個人用戶自身的安全意識也并不太強，互聯(lián)網服務提供商是否具有足夠的隱私保護措施似乎并不那么重要，但一旦個人的不安全行為習慣延伸到企業(yè)，結果就不同了。賽門鐵克最近與PonemonInstitute聯(lián)合發(fā)表的數據泄露研究報告表明，大部分數據泄露是由雇員對機密數據的誤操作和系統(tǒng)錯誤所引發(fā)。

如何解決云服務的安全問題？王志海認為，首先是要建立健全相關法律法規(guī)，倒逼相關服務商增強對用戶的隱私保護意識以達到合規(guī)要求；其次是云服務商需要對安全有更多了解，建立安全團隊或引入第三方安全團隊；另外，相關問題還應該得到足夠的重視，如：在云服務中的應用正變得越來越普及，存在云中的企業(yè)商業(yè)機密也會越來越多，云服務一旦被黑客攻破，被泄露的就不只是用戶密碼這么簡單了。