7 月 18 日晚,自媒體用戶 " 差評 " 發瞭一篇名為《我在百度網盤上看到上萬條車主個人信息,企業、政府高官信息、各種數據庫和無窮無盡的盜版》的文章。百度網盤這是又怎麼瞭?泄露個人隱私?小編可是在裡邊存瞭好多東西 ……
用網盤的人都知道,百度網盤有分享功能,通常情況下,你想把網盤裡的某個文件分享給別人,可以生成一個私鏈,有密碼,對方要輸入正確的密碼才能提取到文件。
但是,百度網盤還有另一種 " 分享 " 功能,一旦分享,就會生成一個公開鏈接。
這個公鏈就變成瞭找到文件的鑰匙,所有點這個生成的公鏈的人都可以看到裡面的內容。
這種分享,在用戶的個人主頁上可以直接看到。於是,在你渾然不覺的時候,你的私密信息就可能已經泄露瞭。
有人嘗試瞭一下,就找瞭很多信息。因為個人百度雲的分享鏈接裡面,有一串編號。而這個編號是有規則的,而且規則相當弱雞——從 " 1 " 開始,逐個遞增!
通過自制的爬蟲小腳本,就搜到瞭很多用戶無意間分享出來的資料 ……
從名字上看,有老姨傢的密碼,各種盜版電影,盜版軟件,某醫院材料,甚至還有百度雲全體 QA 合影?!(QA 是 QUALITY ASSURANCE 的縮寫,大傢大概可以理解為測試工程師)
甚至還在爬蟲結果裡發現瞭一串神秘代碼 ……
還有成批量的高清身份證正反面照片 ……
還有車主信息、車牌、車架號、身份證、地址、手機號一應俱全 ……
看到這裡,可能你還覺得,需要用爬蟲腳本搜索,那也得是會做腳本的人才能搜得到。
然而更可怕的是,獲得這種 " 搜索腳本 " 簡直太容易瞭。
7 月 19 日,在搜索引擎裡輸入 " 百度網盤搜索 " 發現,出現許多第三方網盤搜索網站。隨機點進一個,並在搜索框內輸入 " 企業通訊錄 ",出現瞭許多相關的鏈接。在這其中,有一個名為 " 常州企業通訊錄 " 的壓縮包文件鏈接,點進去之後,可以進入 " 常州企業通訊錄 " 的百度網盤界面,任何人都可以隨意下載或分享。下載後發現,該通訊錄的文件夾裡有十多個電子表格和文檔,其中有江蘇省常州市數千個企業的註冊資金、地址、電話、企業負責人的職業、手機號碼等信息,而在另一個電子表格裡,有三百多名常州市部分學校的校長、紡織公司的董事長、醫院的護士長、某村村支書等各界人士的電話。
有人還試過,搜瞭個 " 畢業照 ",就幾乎看遍瞭全國的大學 ……
復旦的同學們你們好!↓↓↓
感覺畢業照泄露的原因,很可能就是他們班拍完畢業照,班長說,我把畢業照傳百度網盤瞭,大傢去下吧 …… 然後 …… 全國網民就都能看到瞭 ……
還有各種老板 ……
甚至各種領導 ……
這些看起來很可能是內部方便聯系做的通訊錄,通過百度網盤分享,卻不知道這些內容可以被公開搜索到。
百度回應:
將加大對網盤搜索網站的打擊力度
就上述問題,7 月 19 日,百度網盤在其官方微博上做出一則說明。說明中稱,用戶在選擇把數據上傳到百度網盤後,網盤會確保數據的安全性,不進行公開分享絕不會被他人看到,創建加密分享,文件也絕不會被搜到。
此外,百度網盤在分享文件時,設置瞭 " 加密分享 ",並有 " 選擇加密分享的僅限擁有密碼者查看,更加私密安全 " 的提示信息,而部分用戶還是會選擇 " 公開分享 "," 公開分享 " 也有明確提示 " 公開,即任何人可查看、下載,同時出現在你個人主頁 "。
另外,在百度網盤的用戶協議中的 " 隱私保護 " 部分也有相關提示,並且呼籲用戶在選擇分享時設置 " 加密分享 "。
對於公開分享的文件被第三方網盤搜索抓取方面,百度網盤稱,將加大對第三方網盤搜索網站的打擊力度,不斷創新從技術上加強用戶隱私保護。
盡管百度提示加密分享更安全,但是既然開發瞭公開分享的功能,就應該保證功能的安全性。用戶為瞭圖方便直接用公鏈,卻根本意識不到他們的數據會被不相幹的人爬取和搜索,這樣的風險也是細思恐極。
提醒大傢,趕緊去自己的百度雲個人主頁上看看自己公開分享的內容,如果發現有私密信息,趕緊刪除或取消分享。以後使用百度雲分享資料的時候,盡量加密吧!