1月10日，在360被爆出存在“任意密碼修改漏洞”的一個(gè)多月后，烏云網(wǎng)公布了這一漏洞的細(xì)節(jié)?？梢钥吹?，這一漏洞之所以可以被用來修改任意用戶的密碼，其實(shí)質(zhì)仍然是360在密碼找回鏈接的URL結(jié)構(gòu)設(shè)計(jì)上的重大缺陷：直接使用了可以與其旗下社交網(wǎng)站的用戶名進(jìn)行匹配的明文qid。一位IT業(yè)技術(shù)人員在接受采訪時(shí)指出，本次360的密碼修改漏洞，與2012年爆出的同類型漏洞在原理上如出一轍。據(jù)了解，一年多之前，360就曾經(jīng)因?yàn)樵诿艽a找回鏈接中使用了不安全的MD5校驗(yàn)碼，而被指出過同類漏洞。連續(xù)在同一個(gè)問題上犯下相同的錯(cuò)誤，使得360在業(yè)界和用戶心目中的形象被打上了一個(gè)大大的問號(hào)。

在烏云網(wǎng)所公布的漏洞操作細(xì)節(jié)中，用戶可以清楚地看到發(fā)現(xiàn)漏洞的“白帽子”是如何輕易地“盜取”了用戶的個(gè)人信息，甚至包含明星苗圃的私人信息，其中不僅包括賬戶密碼，更包括通訊錄、通話記錄、短信記錄等隱私信息。面對(duì)這樣的結(jié)果，連測(cè)試者自己也連稱“這個(gè)BUG玩大了”，而圍觀網(wǎng)友則大呼“又有人要當(dāng)陳冠希了”。令人關(guān)注的是，如此簡(jiǎn)單易用的隱私泄露BUG，竟在360系統(tǒng)的“密碼找回”這樣的主干模塊中潛伏了長(zhǎng)達(dá)數(shù)月之久，考慮到360龐大的用戶群，這一缺陷的潛在損害，思之不寒而栗。

?令人意外的是，面對(duì)這樣令人后怕的漏洞，360官方僅僅給出的危害評(píng)級(jí)僅僅為“中”。記者就同樣的問題采訪相關(guān)專家時(shí)獲悉，在微軟的漏洞評(píng)價(jià)等級(jí)中，涉及遠(yuǎn)程執(zhí)行和密碼泄露的漏洞通常應(yīng)當(dāng)給予“非常嚴(yán)重”的評(píng)價(jià)。由此看來，360官方對(duì)漏洞的回應(yīng)，態(tài)度值得回味，不免有“捂蓋子”的嫌疑。

而不得不提到的是，這已經(jīng)是360在短短一年里，連續(xù)兩次被發(fā)現(xiàn)了同一類型、同樣原理的BUG。記者查看烏云網(wǎng)的過往漏洞記錄，查到2012年就已經(jīng)有“白帽子”發(fā)現(xiàn)360的密碼找回機(jī)制存在類似缺陷。究竟是360在同一個(gè)問題上連續(xù)犯下兩次致命的技術(shù)失誤，還是說360根本沒有對(duì)技術(shù)人員所反映的問題引起足夠的重視，低估用戶智商，則非常值得思考。

多位安全專家亦表示，在中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)《互聯(lián)網(wǎng)終端安全服務(wù)自律公約》第十三條、工信部《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》第十三條、《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》第八條等多項(xiàng)條例中均強(qiáng)調(diào)了互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)加強(qiáng)系統(tǒng)安全防護(hù)，保護(hù)用戶個(gè)人信息安全。然而，從目前來看，以“安全”起家的360，在基礎(chǔ)系統(tǒng)設(shè)計(jì)的安全問題上做的可能還遠(yuǎn)遠(yuǎn)不夠。