昨天,小編的微博收到這樣一條私信。。。
這裡強調一下,其實後臺留言我們都看的
(咦,他為什麼要說又?)
這位小哥哥上來就說要懟百度,難道百度又出事了?
小編點開了鏈接,裡面是這樣一篇文章。
來自 1024 的。。。
百度網盤之前出過一次網盤信息洩露隱私的事情,不過已經封堵漏洞了,但這洩密又是怎麼回事?
百度網盤有一個 “ 分享 ” 功能,一旦分享,就會生成一個公鏈
這個公鏈就變成了找到文件的鑰匙,所有點這個生成的公鏈的人都可以看到裡面的內容。
如果你想安全點的話,可以生成私鏈,會生成一個密碼,想訪問文件的人不僅要知道鏈接,還要知道提取碼。
不過,因為一些用戶不經意的誤操作,自己手滑偶然會把他們生活相關的東西 “ 分享 ” 了,在他們的個人主頁上可以直接看到,但百度沒有提供適當的提醒!
比如小編髮現某人的主頁是這樣的。。。
這明顯就是分享了自己的手機相冊,但主人似乎並不知情。小編可以看遍他的生活和他去過的每個角落
那為什麼會有人有這種情況發生呢?
這不是百度網盤的漏洞(強調一下),但是產品邏輯似乎有些問題。
我們想象一個場景,小編像上面這個人一樣出門畢業旅行了,拍了很多照片存在網盤上,某一天小編的媽媽想看照片,叫小編分享過去,如果小編出於方便的考慮(願意麻煩生成帶密碼鏈接的人似乎不多),多半是生成個鏈接丟給媽媽讓媽媽點進去看~
但,這卻無意間讓其他人都可以看到!
只要跑去你的個人主頁,就有可能找到你比較私密的東西。。。
那可能有差友會問了,個人主頁又不是隨便能找的,不會有大礙吧?
其實並沒有,百度雲的分享鏈接裡面,有一串編號。
被紅圈圈住的編號
這個編號是有規則的,而且規則相當弱雞——從 “ 1 ” 開始,逐個遞增!
不知道這個 1 號用戶是不是他們家程序員。。。
這個編號相當海量,小編分別試了 1,11,111,1111,11111 這幾個編號的用戶,發現有的是正常用戶,有些看起來是空賬戶,不過從小編後續的小規模嘗試裡發現,這樣遞增數字至少有一半是正常用戶。
疑似空賬戶的賬戶
只要寫個自動的爬蟲小腳本,就可以讓電腦自己去尋找這些用戶,小編就嘗試爬了一下~
爬蟲剛上線 5 分鐘,就被百度踢了,因為要不停改動編號,訪問過於頻繁。。
同時小編髮現這些用戶看起來都不活躍,沒什麼用。。。
有很多百度網盤分享大號,有些粉絲甚至達到百萬,關注這些大號的人,大多可以判定是活躍用戶了,恰好百度網盤在產品設計上可以看 “ 誰關注了這個大號 ”。
可以查看 “ ta 的粉絲 ”
(你同時可以看這些粉絲的分享和訂閱)
然後可以直接讓小爬蟲去找這些粉絲用戶,並且這些粉絲用戶有沒有分享是顯示在頁面上的,只要找分享數字 >0 的用戶,一找一個準!!!
於是,10 分鐘之後小編髮現了一些有趣的東西。。。
小爬蟲跑出來的結果
從名字上看,有老姨家的密碼,各種盜版電影,盜版軟件,某醫院材料,甚至還有百度雲全體QA合影!?(QA是 QUALITY ASSURANCE 的縮寫,大家大概可以理解為測試工程師)
跑去抓下來的鏈接上一看,還真有!
而且他似乎還看盜版電影,還看番???
點進去照片一看,他們合影還挺新的,上星期剛更新!
你們團隊看起來好年輕啊!
很諷刺對不對?自己家的隱私似乎都曝光了,感覺你們明天要加班了呢~
似乎是運營商基站維護記錄????!
(別問我為什麼打了這麼多碼,我想要命!)
甚至。。。
“ 對不起,您撥打的參謀長不在服務區,請稍後再撥! Sorry........ ”
(我就問一句,參謀長最後聯繫上了麼???)
在這之後,小編在爬蟲結果裡發現了一串神秘的代碼。。。
這個代碼的格式好眼熟啊!好像是圖書館教科書的檢索號???
趕緊點連接進去,還特麼能播放!
老~師~好~~
順藤摸瓜,小編乾脆爬了一下老司機的數據,果然老司機的品味就是不一樣,全是檢索號~
咦,對白清晰??什麼鬼??
看老師還不忘搞學術,強!無敵!
可能有差友會說,爬蟲不是每個人都會寫,這些東西洩露的不會太嚴重吧?
Too young!
現在網上有各種各樣可以直搜百度網盤的第三方站點提前幫你都爬好了 ,只需一個關鍵詞,輕鬆找出所有老師!
一搜一大堆!
這些搜索引擎很好用,小編搜了個 “ 畢業照 ”,就幾乎看遍了全國的大學。。。
復旦的同學們你們好!
(感覺洩露的原因多半是他們班拍完畢業照,班長:我把畢業照傳百度網盤了,大家去下吧)
還看到了一個偷拍變態狂的偷拍史!
本來小編想搜搜搜看照片洩露的情況有多嚴重,搜了個 “ IMG ”(手機拍照默認前綴),結果出就找出了這麼個變態。。。
他的所有照片都是這樣的↓
他特麼還按照年份日期排好了序。。。
從 13 年到 15 年,感覺冠希老師後繼有人了。。。
(安醫大的妹子們希望你們提防點,你們學校有變態狂!!!)
隨著小編更深入的搜索,找出來的東西似乎有些可怕。。
有駕駛證的超清照片。。。
有成批量的高清身份證正反面照片。。。
感覺小學生們多半拿去防沉迷了。。。
有車主信息,車牌,車架號,身份證,地址,手機號一應俱全。。。
表格打開後(差友們可以點開大圖看看)
更喪病的是,還有專門針對豪車車主的名單,他們分別是:
奧迪車主
凱迪拉克車主
寶馬車主
奔馳車主
路虎車主
高貴的瑪莎拉蒂車主
金色傳說級別的賓利和蘭博基尼車主!
小編在此祝願各位車主少接點騷擾電話。。。
同時,差評君疑惑了很久的案子終於破了!
哥們,說實話,你是不是買豪車了?
車主也就算了,他們還有各大老闆。。。
清華的老闆們你們好!
這些表格包括了各地各行各業老闆們的公司名,所處行業,私人聯繫電話。。。
如果上面那些你還覺得沒什麼的話,請看下面的截圖。。。
市。。。市長好。。。
因為小編在這些文件裡發現了 “ 詳情加QQ:**** ” 這樣的字樣。
顯然是信息販子在賣信息的時候一個沒注意,把這些東西公開了!
小編搜了QQ,已經不在線了,但仍然找到了一些。。。
明碼標價,童叟無欺,見錢放貨,300 一萬!
到現在為止,事情幾乎明晰了~
縱觀百度網盤這件事,信息洩露主要有兩種,第一種是信息販子在倒騰信息的時候點了分享,另一種是各大企業和機關單位在日常工作時為了方便分享文件使用百度網盤的公鏈分享卻沒有意識到這些信息可以被搜索到!
就比如最後那個官員聯繫方式表格,從文件上的說法,
明顯是內部方便聯繫做的通訊錄通過百度網盤分享,結果對可以被公開搜索到毫不知情。。。或許你會說,百度網盤有基於密碼的加密分享功能,但有功能和功能有人用是兩回事,更多的用戶為了圖方便還是直接用公鏈,上面的百度雲QA照片就能說明一切,開發產品的人都會這個有疏忽,何況普通用戶呢?他們根本意識不到他們的數據會被爬取和搜索,百度網盤也沒有提醒用戶有這樣的風險!
下面是一些小建議:
1.百度網盤推出一個提醒小功能,每隔段時間就提醒一下用戶他的哪些文件是處於完全公開狀態的,他是否還要繼續完全公開;
2.百度網盤可以考慮讓鏈接變成真正的鑰匙,只有拿到鑰匙的人才能找到分享,而不是隨便搜搜就能搜到,或者詢問用戶自己的東西是否可以通過搜索的方式被找到,讓用戶自己決定;
3.各企業和政府方面一定要對內強調一下信息安全的重要性,東西別存在公網的網盤上,也儘量別瞎分享以防信息被暴露在網上
4.請大家重要信息別存網盤!重要信息別存網盤!重要信息別存網盤!
5.信息販子倒騰信息這事還有人管沒有啊臥槽???
聽說百度最近在個人信息安全方面獲獎了?希望他們加把勁啊。。。
“
閱讀更多 ITIL之家 的文章