开发者技术前线 ,汇集技术前线快讯和关注行业趋势,大厂干货,是开发者经历和成长的优秀指南。
我在网盘中看到了无数人泄露的私密文件
点击上方“开发者技术前线”,选择“星标”
13:21 在看 真爱
今天要写的事并不是一件新鲜事,之所以又拿出来写,是因为这个问题到目前依然没有彻底解决,而很多小伙伴可能并没有完全意识到这事到底有多可怕,这不,最近又有小伙伴过来爆料了:
到底是怎么回事,咱们慢慢说。
现在谁的手机里不是存着一大堆照片?就算是你手机容量大,架不住这照片一多,容量自然就不大够用了。
所以才会有各种各样的网络相册和网盘。
有了这些网盘,把手机的照片上传进去,不仅节省了空间,而且还可以随时随地在线查看,而且就算手机丢了也不怕照片全部没了。
啊呸呸,咱们才不会丢手机呢~
不过这么多云盘里,大家最熟悉的也是吐槽最多的就是百度网盘了。
之所以被吐槽最多,还是因为用户量最多。实事求是地说,目前,没有一款网盘可以完全替代百度网盘。
打个比方,百度网盘在网盘里的存在就相当于微信之于社交软件,当身边所有的人都在用百度网盘分享、转存文件,很多资源下载站也提供的是百度网盘的分享链接,你不用它,你用啥?
所以百度网盘早已自成生态,稳得一批。
所以尽管你有这样那样的各种不爽,完全不用,几乎不太可能。只不过,当你使用百度网盘,享受其中的方便时,却在不经意之间也给一些「有心人」带来了极大方便。
而这些「方便」是你一定不想让它发生的。
隐私泄露我们经常会使用一些网盘搜索软件或者网站去搜索资源,大部分都是去搜的电影、游戏、课程等常规资源,这都属于正常操作。
而有一些不那么正常操作的人,就会有目的性地专门搜一些敏感词汇,凭借着多年的社工经验,敏锐的嗅觉,就会从这些网盘搜索网站中扒出很多用户隐私文件。
这事可能你已经知道,但你很可能不知道获取这些隐私文件有多简单,带来的后果有多严重。
简单到什么地步呢?几乎每个会上网的人都能搜索到。
当你在百度搜索「网盘搜索」,就出现好多第三方网盘搜索网站。
随意在其中一个网站(就不点名了)进行搜索,搜索关键词为 DCIM ,为什么搜索这个关键词,因为 DCIM 是大多数手机存放照片的默认文件夹名称,你可以在文件管理器中查看到。
果不其然,搜到了好多相关 DCIM 的结果。
其中以红框中的为例,左边是分享人的是头像,上方是分享人的用户名,还有分享时间和路径,至于大小这个是有误的,不用管它。
点进去文件夹一看,可想而知,都是一些用户的个人照片,而且还可以看到上传时间是 2014 年,失效时间为永久有效。
这个小妹妹现在长大了,估计还不知道自己小时候的照片还能被人搜到,当然,这些很可能是孩子的家长的误操作所致。
再试另外一个关键词 Camera,这个也是一些手机存放照片的默认文件夹名称。
同样也能搜出来很多结果。
随便点进去一看,依然还是私人的照片。
如果你是苹果党,同时又使用百度网盘,那么你的网盘文件夹内,一定会有这么一个文件夹:来自 iPhone,没错,这同样也是一个默认的文件夹。
随便一搜,又是一大把。
上面这些都是默认生成的文件夹,对于很多用户来说并不知情。而还有一些敏感的关键词,就是用户自己创建的。
比如:通讯录,在结果中随便点进去一个文件夹。
东西还真不少,这位大学生的在大一时干了啥别人全都知道了。
里面还有个信息统计表和通讯录,打开一看:姓名、手机、电子邮箱啥都有了,这个人信息都不用别人窃取,自己就乖乖交出来了。
还在搜到了一个名为县直高中的网盘分享文件夹。
里面居然还有一些政府部门的正式文件。
还有这个,欢迎领导视察....
还有,这是一个高三班通讯录,有学生的姓名、家庭住址、家长姓名、联系电话、QQ 号,想想都觉得后怕,很多骗子之所以能成功骗到人就是对你的信息已经有了全方位的了解了。
又搜了一下婚纱照,照样也有大把,不过这些都是普通人的婚纱照,让其他人看到总有点不太好吧。
我知道你们会想到什么,没错,这里面依然也有:
至于尺度更大的就不再展示了。
但是关于个人隐私,还有很多身份证件可以被轻易搜到:
至于有了身份证,现在能用来干嘛,我就不用多提了。
还搜到一个更加重磅的,清华总裁班!足足有 100 页,不是总经理就是董事长,不仅有办公电话,还有手机号码。
而且好多都是房地产公司的,有了这么多开发商老总的电话,买房直接给他们打电话是不是就可以优惠点了呢~
当然,这些只是冰山一角。通过这些第三方网盘搜索引擎搜索出来的东西,可以说什么都有,不管是个人隐私还是商业机密,全没跑。
谁的锅看到这里,是不是有点触目惊心?
我知道你的 40 米大刀可能已经按捺不住准备砍向百度了。
别急,先缓缓,到底是谁的锅,咱们先来捋一捋这种泄密是怎么发生的。
1.首先,这些文件一定是用户上传上去的,有些是用户主动上传,而有些则是用户在无意中上传,大家在手机端打开百度网盘,初始界面会有这样一步设置:
可以看到,在备份照片这个选项,默认是打开的,相信会有不少用户并没有完全理解这个选项的究竟会有什么后果,就直接确认。
关于这个选项该不该默认打开,值得商榷,我们暂且不提。
2.在之前的版本中,当你使用百度网盘分享文件的时候,会创建两种链接,一种是公开链接,系统会提示你,这种链接文件会出现在你的分享主页,其他人都能查看下载。
我想,很多用户并没有真正理解上面这句话的含义,实际上,用词足够严谨的话,应该改为,任何人都能查看下载。
而另一种创建私密链接则是只有分享的好友知道提取码后才能看到文件。
同时链接分享也会有一个有效期选择,有 7 天内失效、永久有效两种选择。
从前面搜到的结果来看,这些隐私被泄露的用户很明显,选择是公开分享以及永久有效。
3.如果只是公开分享,一般用户其实是很难搜到这些文件的。
但是,别忘了还有网盘搜索网站,这个大家都已经很熟悉了,这类网站和搜索引擎一样,也是用爬虫爬取网盘分享的资源,建立检索,提供搜索入口,所以你公开分享的文件,就会被第三方网盘搜索网站抓取到,继而暴露在全网。
这才是那句话警示的真正含义:你公开分享的文件,任何人都能查看下载。
你看,在这个过程中,单独把用户、网盘、搜索站任何一步操作择出来,好像都没什么问题,但是凑在一起后,在三方的共同努力下,才带来了这种后果。
所以,你说这个锅到底该谁来背?
其实这个百度网盘泄露数据隐私的问题,公众号差评在 2017 年 7 月 18 日就已经狠狠的吐槽了,当时百度网盘官方也专门进行了回应。
本图源自网络
说实话,这个回应我是不太满意的。
简单的为大家总结一下百度网盘的回应:
1. 百度网盘会保护大家的数据安全,除非你自己让别人看到。2. 我们也提示加密了,不加密是你自己的问题。3. 还有第三方网盘搜索网站的锅。
从这篇说明中可以看出,百度网盘认为数据隐私被泄露主要就是用户和第三方网盘搜索网站的锅,只字未提自己有没有问题。
但从文件泄露的过程分析来看,很明显,三者都有不同程度的责任。
用户有使用不当的问题,第三方网盘搜索站也存在没有过滤敏感词的责任,而百度网盘其实也存在产品设计逻辑的缺陷。
比如该不该把照片备份默认打开,确实值得讨论,默认备份固然会带来方便,但也增大了用户误操作的几率。
比如既然呼吁用户使用私密分享,为何又在分享选项中把公开分享的选项优先于私密分享?
当然,百度虽然嘴上没有承认有错,但还是对网盘悄悄做出了一些调整:
特别是今年年初,在网页版和电脑桌面端、App 端分享文件时都取消了公开链接的选项或者不能选择公开分享,必须选择有提取码的分享,而且有效期限默认为 7 天,长期有效则需要手动选择。
网页版分享界面
在百度网盘-我的分享那里也可以看到确实有私密的标志。
而且在分享身份证这类比较敏感的文件名时,它也会主动提醒你进行优化。
不过在百度网盘 PC 端最新的 6.8.1 版本中,虽然可以不用设置提取码,但也是私密分享,仅拥有链接的用户可以查看。
话说回来,如果百度网盘真的认为自己的产品毫无问题,又为何做出这些调整呢?
嘴上说没错,身体却最诚实。
当然,对于用户来说,最关心的还是在百度网盘做出这些调整之后,个人文件被分享后还会不会被第三方网站搜索到呢?
从结果上看似乎并不能,因为我在第三方网盘搜索网站依然搜索到了 18 年之后才上传的文件。
这一个:
还有这一个:
可见,这种情况依然没有被解决。针对百度网盘回应的第三点:
不断创新从技术上加强用户隐私保护,同时我们将加大对第三方网盘搜索网站的打击力度。
说明这些力度还不够。
当然,这些第三方网盘搜索站没有对敏感词进行屏蔽也负有很大责任。
换句话说,目前,这种隐私泄露的情况依然存在,所以这也是为什么写这篇文章的原因。
怎么办如果你一定要使用百度网盘,那怎么样才是正确的使用姿势呢?
前边已经提到,造成这种情况,三方都有责任,作为用户,我们只能做自己能做的,隐私无小事,别不当回事。
1.首先在百度网盘-我的分享那里,赶紧找到之前公开分享的文件,就是不带锁标志的,全部取消分享。
2.然后在分享文件的时候一定要设置提取码,有效期不要选择长期有效,7 天时间差不多够了。
这样的话即使被第三方网盘搜索网站抓取到,过了几天就会自动失效,别人也看不到了。
3.如果一定要使用百度网盘的照片备份功能,确保不会把私密照片、机密文件同步上去,所以最好还是建议大家手动备份。
结语很多时候,我们已经习惯了将问题归罪于商业公司,不把用户隐私当回事,以至于骂百度成了政治正确。但实际上,隐私泄露这种问题的确是环环相扣,并不只是单独一方扛得起的。
就算你自己知道轻重,小心谨慎,防不住有猪队友把你的通讯录上传,功亏一篑。
所以很多时候觉得,虽然网络给大家带来了很多方便,但方便这种事从来都是和安全成反比,就看大家如何取舍了。
可能你认为这种事对于自己来说只存在万分之一的可能,但这万一带来的后果你真的承担得起吗?
我只是不希望你成为这个「万一」而已。(来源:网罗灯下黑)
PS:后台回复 “666” 即可领取程序员大礼包