7月18日晚,自媒体用户“差评”发了一篇名为《我在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据库和无穷无尽的盗版》的文章。百度网盘这是又怎么了?泄露个人隐私?小编可是在里边存了好多东西……
用网盘的人都知道,百度网盘有分享功能,通常情况下,你想把网盘里的某个文件分享给别人,可以生成一个私链,有密码,对方要输入正确的密码才能提取到文件。
但是,百度网盘还有另一种 “ 分享 ” 功能,一旦分享,就会生成一个公开链接。
这个公链就变成了找到文件的钥匙,所有点这个生成的公链的人都可以看到里面的内容。
这种分享,在用户的个人主页上可以直接看到。于是,在你浑然不觉的时候,你的私密信息就可能已经泄露了。
有人尝试了一下,就找了很多信息。因为个人百度云的分享链接里面,有一串编号。而这个编号是有规则的,而且规则相当弱鸡——从 “ 1 ” 开始,逐个递增!
通过自制的爬虫小脚本,就搜到了很多用户无意间分享出来的资料……
从名字上看,有老姨家的密码,各种盗版电影,盗版软件,某医院材料,甚至还有百度云全体QA合影?!(QA是 QUALITY ASSURANCE 的缩写,大家大概可以理解为测试工程师)
甚至还在爬虫结果里发现了一串神秘代码……
还有成批量的高清身份证正反面照片……
还有车主信息、车牌、车架号、身份证、地址、手机号一应俱全……
看到这里,可能你还觉得,需要用爬虫脚本搜索,那也得是会做脚本的人才能搜得到。
然而更可怕的是,获得这种“搜索脚本”简直太容易了。
7月19日,在搜索引擎里输入“百度网盘搜索”发现,出现许多第三方网盘搜索网站。随机点进一个,并在搜索框内输入“企业通讯录”,出现了许多相关的链接。在这其中,有一个名为“常州企业通讯录”的压缩包文件链接,点进去之后,可以进入“常州企业通讯录”的百度网盘界面,任何人都可以随意下载或分享。下载后发现,该通讯录的文件夹里有十多个电子表格和文档,其中有江苏省常州市数千个企业的注册资金、地址、电话、企业负责人的职业、手机号码等信息,而在另一个电子表格里,有三百多名常州市部分学校的校长、纺织公司的董事长、医院的护士长、某村村支书等各界人士的电话。
有人还试过,搜了个 “ 毕业照 ”,就几乎看遍了全国的大学……
复旦的同学们你们好!↓↓↓
感觉毕业照泄露的原因,很可能就是他们班拍完毕业照,班长说,我把毕业照传百度网盘了,大家去下吧……然后……全国网民就都能看到了……
还有各种老板……
甚至各种领导……
这些看起来很可能是内部方便联系做的通讯录,通过百度网盘分享,却不知道这些内容可以被公开搜索到。
百度回应:
将加大对网盘搜索网站的打击力度
就上述问题,7月19日,百度网盘在其官方微博上做出一则说明。说明中称,用户在选择把数据上传到百度网盘后,网盘会确保数据的安全性,不进行公开分享绝不会被他人看到,创建加密分享,文件也绝不会被搜到。
此外,百度网盘在分享文件时,设置了“加密分享”,并有“选择加密分享的仅限拥有密码者查看,更加私密安全”的提示信息,而部分用户还是会选择“公开分享”,“公开分享”也有明确提示“公开,即任何人可查看、下载,同时出现在你个人主页”。
另外,在百度网盘的用户协议中的“隐私保护”部分也有相关提示,并且呼吁用户在选择分享时设置“加密分享”。
对于公开分享的文件被第三方网盘搜索抓取方面,百度网盘称,将加大对第三方网盘搜索网站的打击力度,不断创新从技术上加强用户隐私保护。
尽管百度提示加密分享更安全,但是既然开发了公开分享的功能,就应该保证功能的安全性。用户为了图方便直接用公链,却根本意识不到他们的数据会被不相干的人爬取和搜索,这样的风险也是细思恐极。
提醒大家,赶紧去自己的百度云个人主页上看看自己公开分享的内容,如果发现有私密信息,赶紧删除或取消分享。以后使用百度云分享资料的时候,尽量加密吧!
