查看原文
其他

小心你的百度网盘“裸奔”了!黄磊、陈赫的合同都能被轻易搜到

2017-07-20 南方都市报


你把身份证、护照扫描件和旅游照片存放在哪? 


如果是百度网盘,还曾通过链接分享给家人朋友,那么这些隐私可能已经泄露了。


近日,不少论坛技术帖称,通过简单的链接地址修改、爬虫程序,或直接在第三方平台对百度网盘进行内部搜索,即可获取用户分享的照片、身份证、车主信息、通讯录等重要个人信息,并晒出大量截图。


7月19日 ,南都记者搜索发现,除上述隐私信息外,就连涉及企业内部机密的文件也可找到。在搜索与合同相关的关键词时,排在第一位的是黄磊的某代言合同。除了黄磊,陈赫等明星的合同协议也不难找到。


对此,有网友表示,“细思极恐,原来个人信息一直在裸奔。”



身份证、护照、合同……

企业机密文件也可搜到        


7月18日,有自媒体公号发布文章称,在百度网盘上看到上万条个人信息,包括企业,政府官员,各种数据库等。 


南都记者了解到,百度网盘是一个向广大用户提供数据存储、同步、管理和分享等在线服务的信息存储空间平台。


上述文章指出,用户上传至百度网盘的文件,不仅能被自动的爬虫脚本自动寻找,还能通过第三方搜索网站轻易被搜索到。



19日,南都记者尝试通过第三方平台变换关键字进行搜索时发现,关键词“身份证”的搜索结果链接,已经被百度网盘屏蔽,页面显示:“抱歉:您搜索的关键词中可能包含非法关键词,根据相关法律法规搜索结果不予显示.如有其他问题请联系我们。”


但是,当南都记者用英文搜索时,依然能够直达用户分享页面,成功下载清晰极高的个人身份证、护照、学位证等扫描件,甚至在一个压缩包里面发现了65个外国护照的扫描件。



除证件之外,南都记者还找到了很多学校、企业的通讯录,以及员工社保详情,内容涵盖家庭住址、电话、父亲姓名、社保号等极为敏感的个人信息。



不仅个人隐私信息,就连涉及企业内部重要文件也可以找到。


南都记者查询到一个名为常州企业通讯录的文件夹,其中光是一个2012年2月总裁班的Excel表格,就有62条企业家信息,内容不仅包括公司名称,联系方式,甚至连企业年营业额,老板坐什么车型的信息都有。


在第三方平台搜索相关关键词时,黄磊的一份代言合同被置于显眼位置。除了交易部分被模糊处理,文件详细描述了2014至2015年,上海黄磊影视文化工作室旗下艺员黄磊代言某产品的签约内容。



此外,陈赫的代言合同亦可以被搜索到。合同显示,陈赫与上海某公司达成协议,为该公司的手游产品,提供商业推广及相关服务,签约日期为2015年1月22日。


泄露资源未加密

公开分享可被任何人下载    


看到这里,相信大家都和南都记者一样有个疑问:究竟哪些百度网盘资源可以被搜索到? 


南都记者了解到,百度网盘的分享形式包括加密和公开两种。百度网盘的默认分享方式为加密分享,仅限拥有密码者查看,更加隐私安全。公开分享选项后面则写明,“任何人可查看或下载,同时出现在您的个人主页”。分享资源的有效期分为永久有效,7天和1天。



此外,百度网盘的用户协议明确,用户可以主动设置与他人分享信息。用户了解并知晓,当用户公开分享信息时,包括百度在内的各种搜索引擎可能会抓取这些信息。用户在注册账号时就已同意该协议。


也就是说,可以被搜索到的百度网盘资源,都是用户主动公开分享的。


南都记者尝试进入这些分享者的个人主页发现,他们的ID有的是昵称,有的是手机号码,综合分享的文件内容看,基本可以推测为网盘的真实用户,并非“僵尸用户”。


对于百度网盘提醒的“任何人可查看或下载”,有网友表示,“难道分享文件不应该是默认分享到好友圈里吗?……那么多东西都成了公开的?”


▶南都记者联系到了护照扫描件被泄露的钱先生,他说,

当时是自己主动公开分享,但没想到会被全网搜索到,并从南都记者处获知了取消分享的步骤。


▶黄磊代言合同甲方公司的市场部经理杜某也表示,

还是第一次听说合同被泄露的消息。


南都记者浏览发现,在网上提供百度网盘资源搜索和下载服务的网站不少。这些网站大多称与百度无直接关系,只是以技术手段自动抓取百度网盘的链接而已,不存储任何资源。


其中一家自称是“最大的百度云盘资源搜索中心”的网站介绍,拥有千万级大数据量,能够帮助用户一网打尽所有百度网盘资源。南都记者尝试联系该网站客服,对方称,“本站所有资源均来自互联网,本站只负责技术收集和整理,均不承担任何法律责任。”


百度回应第三方搜索引擎系恶意抓取        


针对部分公开分享链接被第三方搜索引擎抓到的问题,

百度网盘回应称,

用户在选择把数据上传在百度网盘后,网盘会确保数据的安全性,不进行公开分享,绝不会被他人看到;创建加密分享,文件也绝不会被搜到。 


并且,百度对于用户公开分享的链接,设置了禁止第三方抓取的技术措施,但是一些第三方“网盘搜索”类网站为了牟利,破坏百度网盘设置的技术措施,恶意抓取用户未设置提取码的公开分享链接,并聚合提供给其他检索用户。


百度网盘相关工作人员告诉南都记者,

在搜索引擎行业,通用的爬虫协议会对哪些可以抓取、哪些不可以抓取作出引导。通常设置了No Follow(不得爬取)选项,爬虫就不应该抓取。但若第三方搜索引擎采取强制爬取模式,则爬虫协议也会失效。


百度方面称,

这些搜索引擎已经违背了行业准则,已设置黑名单,屏蔽此类网站的违规抓取。但由于这些网站经常通过更换域名等方式来逃避监测,导致无法被完全清除,将加大对第三方网盘搜索网站的打击力度。同时呼吁用户,对“隐私”内容采取加密的方式分享。


专家建议百度网盘

增加公开分享的风险提示    

        

多名专家和律师向南都记者表示,

由于百度网盘已经在用户服务协议以及分享页面明确告知用户,如果选择公开分享,资源将可以被“任何人查看或下载”,且各种搜索引擎也可能会抓取这些信息,因此百度网盘基本可以免责。


▶中国信息安全研究院副院长左晓栋指出,

“这就相当于用户开了个博客,选择对所有人可见,那就不能怪别人看到了他的内容”,如果第三方用自动化的方式去抓取信息,无非是手段不同而已,行为本身并不违法。


他认为百度网盘有需要改进的地方。


他建议,百度网盘可以增加更多的风险提示,让用户切实意识到“公开链接”意味着什么。同时用户也要提升安全意识、增强基本安全防护技能,“网络安全是共同的,不是孤立的,维护网络安全靠大家共同努力”。


▶北京志霖律师事务所副主任赵占领则告诉南都记者,

“百度应该没有法律责任,但是产品技术上有必要更完善。”


第三方网站是否侵权问题,与用户存储在百度网盘上的数据是否涉及个人信息或者隐私有关。其中抓取的公开查询、保存的文章等数据,不涉及侵犯用户的个人信息或者隐私的问题,当然不排除侵犯其他权利,比如版权。


如果用户主动上传到网盘进行分享传播,则也不涉及侵犯其个人信息或者隐私的问题。但是,如果并无意向公众分享,仅仅是出于个人保存的目的,或者为了方便向特定用户分享链接、便于传输文件,但是因为疏忽而没有选择对文件加密,导致链接成了公链。这种情况下,第三方网站收集和整理这些数据应该涉及到侵犯个人信息或隐私等权利。


南都记者 蒋琳 李玲


* 公众号如需转载南都君原创内容,请后台联系授权;未经授权,不得转载。


南都君特选(戳下方标题)


广东3男1女翻护栏围观车祸,从15米高架桥直接摔下


在广州租学区房就能读名校?呵呵,醒醒吧


为什么越来越少人发朋友圈了?


为安全起见,百度网盘还是选择加密分享吧!get到的戳  

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存