原标题:你的个人信息,可能全被我在百度云盘上看到了。
昨天,差评君的微博收到这样一条私信。。。
这里强调一下,其实后台留言我们都看的。
这位小哥哥上来就说要怼百度,难道百度又出事了?
差评君点开了链接,里面是这样一篇文章。
百度网盘之前出过一次网盘信息泄露隐私的事情,不过已经封堵漏洞了,但这泄密又是怎么回事?
仔细一看,其实是百度网盘有一个 “ 分享 ” 功能,一旦分享,就会生成一个公链。
这个公链就变成了找到文件的钥匙,所有点这个生成的公链的人都可以看到里面的内容。
如果你想安全点的话,可以生成私链,会生成一个密码,想访问文件的人不仅要知道链接,还要知道提取码。
不过,因为一些用户不经意的误操作,自己手滑偶然会把他们生活相关的东西 “ 分享 ” 了,在他们的个人主页上可以直接看到,但百度没有提供适当的提醒!
比如差评君发现某人的主页是这样的。。。
这明显就是分享了自己的手机相册,但主人似乎并不知情。
差评君可以看遍他的生活和他去过的每个角落
那为什么会有人有这种情况发生呢?
这不是百度网盘的漏洞(强调一下),但是产品逻辑似乎有些问题。
我们想象一个场景,差评君向上面这个人一样出门毕业旅行了,拍了很多照片存在网盘上,某一天差评君的妈妈想看照片,叫差评君分享过去,如果差评君出于方便的考虑(愿意麻烦生成带密码链接的人似乎不多),多半是生成个链接丢给妈妈让妈妈点进去看~
但,这却无意间让其他人都可以看到!
只要跑去你的个人主页,就有可能找到你比较私密的东西。。。
那可能有差友会问了,个人主页又不是随便能找的,不会有大碍吧?
其实并没有,百度云的分享链接里面,有一串编号。
这个编号是有规则的,而且规则相当弱鸡——从 “ 1 ” 开始,逐个递增!
不知道这个 1 号用户是不是他们家程序员。。。
这个编号相当海量,差评君分别试了 1,11,111, 这几个编号的用户,发现有的是正常用户,有些看起来是空账户,不过从差评君后续的小规模尝试里发现,这样递增数字至少有一半是正常用户。
只要写个自动的爬虫小脚本,就可以让电脑自己去寻找这些用户,差评君就尝试爬了一下~
爬虫刚上线 5 分钟,就被百度踢了,因为要不停改动编号,访问过于频繁。。
同时差评君发现这些用户看起来都不活跃,没什么用。。。
于是差评君找了个很取巧的逻辑,钻了百度产品逻辑空子。
有很多百度网盘分享大号,有些粉丝甚至达到百万,关注这些大号的人,大多可以判定是活跃用户了,恰好百度网盘在产品设计上可以看 “ 谁关注了这个大号 ”。
你同时可以看这些粉丝的分享和订阅
然后可以直接让小爬虫去找这些粉丝用户,并且这些粉丝用户有没有分享是显示在页面上的,只要找分享数字 >0 的用户,一找一个准!!!
于是,10 分钟之后,差评君发现了一些有趣的东西。。。
从名字上看,有老姨家的密码,各种盗版电影,盗版软件,某医院材料,甚至还有百度云全体QA合影!?(QA是 QUALITY ASSURANCE 的缩写,大家大概可以理解为测试工程师)
跑去抓下来的链接上一看,还真有!
而且他似乎还看盗版电影,还看番???
点进去照片一看,他们合影还挺新的,上星期刚更新!
你们团队看起来好年轻啊!
很讽刺对不对?自己家的隐私似乎都曝光了,感觉你们明天要加班了呢~
差评君又去看了看那个什么 “ 医院材料 ”,感觉事情似乎有点大条。。。
这似乎是运营商基站维护记录????!
别问我为什么打了这么多码,我想要命!
“ 对不起,您拨打的参谋长不在服务区,请稍后再拨! )是专注母婴纱布系列产品的B2B生产厂家