3月20日下午,百度召开信息安全沟通会,针对事件的调查过程及结果进行现场说明,并展示经三方公证的“(2025)京精诚内经证字第 1642号”公证书。
百度安全负责人陈洋表示,百度任何职级的员工及高管均无权限触碰用户数据。
百度公布了详细的调查过程:
3月17日,百度接到外部举报,并立即成立了一个由内部安全专家组成的独立专项小组,开展调查与审计工作。小组成员与当事人之间不存在任何利益关系。
经过严格的数据安全审计,排除谢广军泄露嫌疑,并定位了真实泄露渠道。
在调查过程中,对他的“历史数据申请记录”、“权限记录”、“数据访问记录”以及“数据库服务器登录日志”等进行了调查和审计,确认其没有百度用户个人身份信息数据权限,也没有登录任何百度“数据库”及“服务器”。此外我们对其相关日志进行审计,在审计周期内未发现有异常访问行为。
开盒事件中的数据究竟来自哪里呢?百度从多个维度展开调查。首先,对被举报人进行了问询,他的女儿透露了她的“开盒”渠道,并提供了一个路径。只要在海外网站上进行搜索,就可以找到这条路径,并且通过这个路径很容易进入社工库。
同时,通过在社交媒体广泛流传的一张图片也印证了这一点。标注图标处,即为一款在国外应用市场可下载的国外T某加密聊天软件的应用图标;也很容易识别出,图片中的界面和国外T某加密应用的界面是一模一样的。
但只是这样也不足为信,必须要复现这个过程,并最终通过公证机构对该过程进行公证,以确保其法律效力和公信力。
百度透露,过去几天,因为媒体铺天盖地的报道,百度发现这个社工库今天早上暂停了,这个结果也是保护了一些人。