本周二,百度搜索移动端挂了15分钟,哦不对,42分钟。
今天,百度又有事情了——
就在上午,百度通过旗下微博认证帐号“hao123”发出《关于“百度旗下网站暗藏恶意代码”事件的调查说明》,并表示:“对于此次事件给大家带来的困扰,我们郑重致歉!同时向发现、报道和关注此事的各界人士表示衷心感谢。”
事情是这样的:
之前百度被爆料旗下两个网站下载任何软件时,都会被植入恶意代码。
按照第三方安全机构火绒安全实验室此前的说法:
当用户从百度旗下的
这两个网站下载任何软件时,用户都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。
对于这件事,百度非常难得地、坦承地承认自己的错误,今天在上述这一则公告中承认确实存在这样的情况,并表示暴露了百度在产品管理机制上的不足。原话如下:
“相关报道的情况真实存在。被影响的电脑会出现浏览器、网址导航被劫持等使用情况,在伤害用户体验的同时,还篡改、伪装网站联盟链接,骗取百度流量收入分成,对百度造成品牌和经济损失。”
微博用户“百度北京分公司”也转发了这一则承认错误的公告称:
广大用户可于3月4日通过hao123网站下载恶意代码专杀工具。我们坚决抵制侵害用户利益、破坏互联网环境的行为。
对于具体原因,百度称:
1)上述网址提供的hao123软件下载器,系第三方外包团队开发,涉嫌被网络黑产利用从百度联盟中分成;
2)已将相关查杀信息同步提供给了腾讯、360、绿盟等厂商,用户在3月4日后可从hao123网站首页下载使用;
3)产品管理机制上存在不足,百度将加强监管机制,杜绝该类事件再发生。
不过,对于百度这份#难得地、坦承地承认自己的错误#的公告,网友好像并不买账。尤其是,看起来好像百度将锅甩给了第三方。↓↓
宕人:百度啥时候倒闭?不在线等,没很急的。
山外的鸭子哥:甩锅第三方表示怀疑,如何解释数字签名的事
真恒山玄青:第一,外包公司这个锅不接受除非贴出合同证明为第三方外包并开除;第二,如何证明查杀工具不是更隐藏的恶意代码;第三,你们破坏了自己的信用,所以以上并非苛求。
黎明C:百度,360,是能不用就不用,你们带来的麻烦比便利要多得多,把用户当傻子,感谢一下现在的垄断吧,没有墙,没有垄断,百度早就挂了
lewis_geek:外包公司背锅
(备注:以上均为微博用户)
其实网友好像有点激动……网络安全工程师李铁军则向南都记者表示:
这种情况并不少见,责任在于黑产。所有互联网公司都在采用类似的方法推广自己的产品,给渠道分推广费,黑产经常会混在里面,利用病毒来骗推广费,这也是最常见的一种攻击方式之一。Google的不少安装包就是个下载器,且一次点击就静默安装,连安装路径都不给一个,Adobe也是如此。所以,关键得看下载器还做了什么。
不过,百度这么弱不禁风,轻易就被黑产利用了,好像不是很符合国际大公司的形象,让人有点不放心哦。
例如前两天的宕机,就引得工信部也要紧急约谈了。
2月28日晚8点39分,百度移动端搜索发生故障,搜索请求无法显示结果,至晚9点21分恢复,历时42分钟。南都记者之前还天真地以为只有15分钟左右。据初步分析,故障原因是由于百度公司的软件更新中存在BUG(漏洞),导致服务器停止服务。
再例如,再往前几天,百度搜索移动端出现了被劫持的状况,在手机的任意浏览器进入百度(m.baidu.com),搜索某些特定的词汇,在搜索结果页中点击相关对应站点进入,之后点击浏览器的返回按钮,就有可能进入“假百度”首页,例如一些黄色网站。随后百度官方回应称因为存在被劫持的状况,网友搜索搜出“假百度”有可能是劫持流量的黑色产业链条所为;还有一些网站是在不知情的情况下被黑。
有资深程序员就很无语地向南都记者抛来这么一句点评:
百度这届程序员很烂,百度这种配置条件,就不应该出现宕机的情况。
恨铁不成钢,大公司的担当在哪里?!也难怪,工信部3月1日就紧急约谈百度,责令百度公司立即对本次故障进行深入调查,提出切实有效的整改措施,坚决防止类似问题的再次发生,3日内向工信部提交书面报告。
不过,对于此前这两个事情,百度并没有今日这么诚恳的态度。2月28日晚上宕机事件出来后,百度官方微博发了个消息说在紧急排查,之后便是一片太平盛世,歌舞升平,满满的爱。至于宕机原因,好像还没有解释……
