三天两爆：360承认老漏洞 又被曝出新漏洞

11月28日消息，自360账户曝出存在“任意用户密码修改”漏洞后，乌云漏洞平台再次有白帽子披露“360云盘客户端权限设置不当”漏洞，影响所有使用360云盘的客户，据悉，在某些情况下，用户存储在360云盘中的所有内容均会暴露，可以被随意浏览及下载，造成严重的隐私泄露。

相关网络安全专家对此表示担忧，称“在某些情况下，黑客可利用此漏洞可在360用户的云盘中为所欲为，360云盘用户存在被其他人轻易窥探甚至随意改变其云盘中内容的危险。建议用户在360未修补漏洞之前将云盘中相关重要信息及时转移，以免造成不必要的损失。”截至目前，360还尚未对此漏洞给出任何回应与解释。

此前在26号，乌云漏洞平台在微博上披露，发现360账号系统存在“任意用户密码修改”漏洞，属于本可避免的“设计缺陷/逻辑错误”， 使用360账号保存过的电话、短信、记录以及云盘中的私人文件均有可能被被随意浏览下载。此项漏洞波及360手机卫士、360云盘、360浏览器云同步等奇虎360旗下多款网络应用和安全类产品，波及面之广史无前例，动摇了网民对360产品安全性的信任。

包括“龙岩公安博警在线”在内的多地公安已发布警示微博，提醒网民注意安全。安全技术人员则建议，在360彻底杜绝漏洞潜在威胁之前，应尽快更新和修改个人密码，降低篡改可能；其次，清空或者转移全部通过360账户保存的历史资料和云端信息； “当然，最稳妥的方式还是在事件明朗之前，慎用360相关产品。”