超级混源体老邱 发表于 2017-7-21 13:17:32

【转载】百度网盘存分享漏洞?有人搜出了一大堆奇怪的东西...。

本人点评:从前天开始,百度网盘上的用户再打开别人的主页时已无法再看到他们分享中的所有文件资源了(还是有其他办法来打开的),原因就是前几天有人爆料百度网盘可以用搜索软件和其他办法来看到其他网友公开分享后的所有文件资源,甚至还有身份证、工口和盗版资源、个人照片、重要或机密文件等等,真是让人不寒而栗啊!众网友纷纷表示我们的隐私已被泄漏!但也殃及了游戏资源分享者了,唉!我说怎么无法看到别人主页分享的文件呢,原来是出了泄漏隐私的事啊!不过本人还有别的办法!本人就不说了,各位自己想办法吧!
此贴来源:IT之家、37阅读和新华网
  今天,一篇关于百度网盘的文章刷爆了朋友圈,看了文章之后,小编不禁背后直冒冷汗,原来我们无意间可能会将自己的额私密信息分享出去,而且别人也可以在网上轻易的获取。  事情的起因源自于一个某自媒体“差评的一篇名为《我在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据库和无穷无尽的盗版。。。》的文章。  很多人都用过百度网盘的 “ 分享 ” 功能,一旦分享,就会生成一个公链。这个公链就变成了找到文件的钥匙,所有点这个生成的公链的人都可以看到里面的内容。如果你想安全点的话,可以生成私链,会生成一个密码,想访问文件的人不仅要知道链接,还要知道提取码。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1B7Wn0hxX0S42Yia5xJ6gx7MfN1rzsjkEBkibeiagUiasSXJoiaP1gFY6IQQ/640?wx_fmt=pnghttp://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1qBuE0ibqHuUajSrl6nic8rHt9eSADiaNsaUlicNSI1t0OBAm6lJxqHz3mw/640?wx_fmt=png  不过,因为一些用户不经意的误操作或者是嫌设置私密链接还需输入密码比较麻烦,就直接通过公共链接把他们生活相关的东西 “ 分享 ” 了。这些资料在他们的个人主页上可以直接看到,但百度没有提供适当的提醒!  那么,别人是怎么获取你的个人主页链接的呢?  媒体发现,个人百度云的分享链接里面,有一串编号。而这个编号是有规则的,而且规则相当弱鸡——从 “ 1 ” 开始,逐个递增!http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1BkJtnyd2micFTpoZLsyjbYG2zYW9G9CrVcibouVALzPjvWv3q7PDoNkA/640?wx_fmt=png  通过自制的爬虫小脚本,于是就搜到了很多用户无意间分享出来的资料。。。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1RjbSIicUQE8Vdr7HsOjyNJHpGFHxbJwzYq78zawCuGcH1crIpMoGRmA/640?wx_fmt=png  从名字上看,有老姨家的密码,各种盗版电影,盗版软件,某医院材料,甚至还有百度云全体QA合影!?(QA是 QUALITY ASSURANCE 的缩写,大家大概可以理解为测试工程师)http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1nSAEWecftbH6Ngqv7iafTzlAxbW3AlIg7iafNbfvXSVwKjGFDbr7lANA/640?wx_fmt=png  甚至还在爬虫结果里发现了一串小编根本看不懂的神秘代码。。。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1ftOmuKCcQwffSX86eEQsYGpgcgVMoD49PXic0ib6xAEb5JtYW1jEluHw/640?wx_fmt=png  还有成批量的高清身份证正反面照片。。。(感觉小学生们多半拿去防《王者荣耀》沉迷了。。。)http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1RYibveOV4U8fKwWvfM1zCjVvT4NRz84ib7QC43payd9nfRGTNXPPkPpA/640?wx_fmt=png  还有车主信息,车牌,车架号,身份证,地址,手机号一应俱全。。。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1gRJYyBKicowpaJDf7FUJySFus47vVfZZRAqOxGqLnlLNUsiaicUFWYo2w/640?wx_fmt=pnghttp://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia1A10WjIP8xQKPM0pREjjNsGSeiatKDtOK9fWF6rsVrNhic9y5WjbibaZag/640?wx_fmt=png
http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/yZPTcMGWibvuHTrFQ71uL8kQ6LPDQ4Ia16iaX22wwliayo5dh0F30QX5OBnxn8gugoMY8827BEKGibJEtokicCMrdvg/640?wx_fmt=png  信息泄露主要有两种,第一种是信息贩子在倒腾信息的时候点了分享,另一种是各大企业和机关单位在日常工作时为了方便分享文件使用百度网盘的公链分享却没有意识到这些信息可以被搜索到!  7月19日午间,针对此事百度网盘官方微博发布《关于网盘用户公开分享链接相关问题的说明》进行回应。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_png/HrhrgxCloNaBibBUN8hmGHYcePZm84Cxbs919U4FHWfPpkFz3fMZRnEUpC16HsBxLrFicmLQxcqYPIBo04n1JXWg/0?wx_fmt=png  百度称,用户在选择把数据上传在百度网盘后,网盘会确保数据的安全性,不进行公开分享,绝不会被他人看到;创建加密分享,文件也绝不会被搜到;  百度网盘为了保护用户数据安全,避免隐私泄漏,在分享文件时,设置了“加密分享”,提示有:选择“加密分享”,仅限拥有密码者查看,更加私密安全的提示信息;而部分用户还是会选择“公开分享”,也有明确提示“公开,即任何人可查看、下载,同时出现在用户个人主页”。另外,在百度网盘的用户协议中的“隐私保护”部分也有相关提示,并且呼吁用户在选择分享时设置“加密分享”。http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=http://mmbiz.qpic.cn/mmbiz_jpg/HrhrgxCloNaBibBUN8hmGHYcePZm84CxbGkicgOoA4vibfQa5uhOUNTyNZf2hic5WO87g93lcP8bCPy3fUHCwxFVBA/0?wx_fmt=jpeg  百度网盘表示,深知用户隐私保护是产品的生命所在,一贯高度重视用户隐私,不断创新从技术上加强用户隐私保护;同时将加大对第三方网盘搜索网站的打击力度。  小编在这里郑重提醒大家,请赶紧去自己的百度云个人主页上看看自己公开分享的内容,如果发现有私密信息,请立即做出删除或取消分享的处理。也提醒大家,在以后使用百度云进行分享资料的时候,尽量使用私密方式进行加密,否则到时候出现资料泄密就麻烦了!
百度网盘加大力度打击第三方网盘搜索网站,用户:只要你不挂就好...。

  近期自媒体“差评”发文称,百度网盘用户在分享文件的时候,如果不设置提取码,而是公开分享链接,文件将被第三方网盘搜索抓取。百度网盘官微也发表声明称将保护用户隐私,加大对第三方网盘搜索网站的打击力度。https://img.ithome.com/newsuploadfiles/2017/7/20170720_211645_145.jpg  相关媒体表示,这不是百度网盘的漏洞,而是产品逻辑存在问题——用户在分享文件时,百度网盘没有提供适当的风险提醒。  但考虑到目前国内网盘的生存状态,广大网友表现出了对百度网盘的极大宽容,纷纷表示,“只要你不挂就好”“你坚持住不挂已经很知足了”...https://img.ithome.com/newsuploadfiles/2017/7/20170720_211719_696.jpg
个人信息被泄百度网盘建议“加密”!

http://news.xinhuanet.com/tech/2017-07/20/1121347758_15005060331021n.jpg  百度网盘会提示对信息“加密分享”或“公开分享”,律师认为百度应增加风险提示。 本版图/网络截图http://news.xinhuanet.com/tech/2017-07/20/1121347758_15005060337581n.jpg记者通过任意查询的方式在百度网盘查询到某人的毕业证书。
  个人照片、毕业证书存放在百度网盘?如果你分享过链接,那么信息可能已经被泄露。  7月18日,有微信公众号发文称,在百度网盘看到大量私人信息,甚至包括企事业单位内部通讯录。网友惊呼“被裸奔”。记者调查发现,百度网盘虽不自带搜索功能,但通过第三方网盘搜索引擎可查询到百度网盘用户的大量照片、通讯录,甚至不乏政府、高校及公司内部文件等隐私内容。  昨天上午,百度网盘在官方微博回应称,将采取更多手段保护用户隐私。
手机号码家庭住址都能看到  “我在百度网盘看到上万条车主、企业、政府信息。”7月18日,有微信公众号发文称,百度网盘上大量隐私信息被流出。随后,记者在不同的第三方网盘搜索引擎输入例如“照片”、“通讯录”、“内部文件”等关键词,每一个搜索引擎都有大量相关信息可随意浏览、下载。  这些信息既包括一些日常生活照片,也有知名高校某届总裁培训班的通讯录,甚至还有明确标注着“内部资料注意保存”的政府文件。  一家网盘搜索引擎自称,其为最大的百度云网盘资源搜索中心,“千万级数据量,让您一网打尽所有的百度网盘资源”。在该网盘搜索引擎输入“照片”,检索到5000多条相关信息。  记者随机打开一位百度网盘用户在今年2月份上传的照片,内容显示,这份名为“2017闺蜜照片”的文件夹共有170多张女性照片,该文件夹的设置为“永久有效”。而在被同样设置为“永久有效”的另一位用户的照片文件夹中,出现了许多衣着较为暴露的女性照片。  而输入“通讯录”的检索结果则有更为详细的私人信息。其中北京某知名高校第六届“总裁研修班”通讯录中,不仅包括参加该研修班的92位成员的姓名、手机号码、家庭住址、工作单位、邮箱,甚至还有每一位成员的照片。根据其中信息显示,这些成员大多为不同企业的总经理或主要负责人。  记者还检索到一份标注为“内部资料注意保存”的政府文件,该文件为某领导小组的与会人员名单,该名单还注明了部分领导的手机号码。  某银行似乎“暴露”得更为彻底,在一份上传时间为2017年6月15日的文件夹中,包括从该银行广州分行、珠海分行、成都各网点到该银行全国科技部高管等十几份不同的通讯录。从公司员工到执行总裁,通讯录收录有他们的职务、座机、地址和手机号码。同样,这份文件夹的有效时间也是“永久有效”。  此外,还有名为“公司内部培训”、广西某市应急突发联络人清单等信息。上述个人或企事业单位的信息,从点击下载到下载完成,只需要几秒钟。而下载过程中也没有要求下载者实名验证的环节。  记者体验发现,用户在百度网盘分享信息是通过分享系统生成该信息的一个链接完成的。此外,用户会收到“加密”还是“公开”的相关提醒,如果选择公开,会出现“任何人可查看或下载,同时出现在您的个人主页”的提醒;但如果选择加密,则会生成一个密码,只有对方获得密码才能查看。  而已经公开的信息内容,只有信息上传者才可以通过点击“取消公开”或删除阻止继续公开。
当事人不知道自己信息被泄露  通过其中一份上传文件,还可以具体检索该用户上传过的其他文件。但大多数上传者除了留下一个网名之外,没有更多的信息,因此无法追溯。  记者联系到一位用户名为“电话号码”的用户,她的百度网盘账户曾上传过一份东北某实验中学通讯录。该通讯录信息显示,有的成员已入职政府部门,有的已是企业领导。“我也不知道怎么回事,但我没有上传过这份通讯录。”陈琦(化名)告诉记者,经她确认,这份通讯录上的人确为自己的中学同学,这些年也有联系。陈琦反复追问记者是如何看到这些信息的,最后以无法核实记者身份为由拒绝透露更多信息。  记者随机拨打了北京某知名高校第六届“总裁研修班”通讯录中一位成员毛先生,他的身份是北京某律师事务所高级合伙人。 “我是在2013年参加的这个班,这个通讯录我们班上每个人都有一份纸质版,但怎么会跑到网上呢?”毛先生认为自己的个人隐私受到了侵犯。  而通讯录中班主任刘女士则向记者证实,毛先生在那一届研修班中担任班长。“我也是头一次知道这个事,现在信息诈骗的、广告推销的太多了,我每天都能接到好多这种电话,而且参加这个班的大多是有一定经济实力的,如果这份通讯录被人利用,还是很令人后怕的。”刘女士说。  上述某银行通讯录中,公司人力资源部王女士听到名单可被随意访问或下载的消息大吃一惊,“我们最近没有安排过通讯录统计,我会向领导汇报这个情况,然后调查是怎么传出去的。”  这些提供入口的网盘搜索引擎都称,所有资源均来自百度网盘等,其只负责技术收集和整理,不承担任何法律责任,“如有侵权违规等其他行为请联系我们”。  2016年下半年,百度曾发布消息称,百度云用户已突破1000万,用户上传的文件数量也超过5亿个。百度云目前提供网盘、通讯录、相册等服务。
■ 回应百度:不公开分享,信息绝不会被他人看到  为何会有如此多的隐私信息被公开?7月19日上午,对于此事,百度网盘官方微博进行了回应。  回应中称,用户在选择把数据上传到百度网盘后,网盘会确保数据的安全性,不进行公开分享,绝不会被他人看到;创建加密分享,文件也绝不会被搜到。  百度网盘为了保护用户数据安全,避免隐私泄露,在分享文件时,设置了“加密分享”,提示有:选择“加密分享”,仅限拥有密码者查看;而部分用户还是会选择“公开分享”,也有明确提示“公开,即任何人可查看、下载,同时出现在你个人主页”。另外,在百度网盘的用户协议中的“隐私保护”部分也有相关提示,并且呼吁用户在选择分享时设置“加密分享”。  百度方面表示,一贯高度重视用户隐私,不断创新从技术上加强用户隐私保护;同时我们将加大对第三方网盘搜索网站的打击力度。  最后,百度方面称,百度网盘后续会采取更多技术手段,全力保障网盘用户的数据安全和隐私。
■ 律师说法百度应增加提示,用户也应加强安全意识  北京安杰(深圳)律师事务所合伙人潘翔律师表示,从百度网盘分享的设置程序上看,百度方面还是已经做了相应的提示。但仍然有用户,在主观上不想公开隐私信息,但客观上公开出去了,这说明还是自身的隐私保护意识不强,忽略了相关提醒。“所以这方面的意识还是要加强。”  潘律师认为,作为网盘服务商,百度在信息安全方面的经验和水平明显优于普通用户。因此建议百度方对用户进一步加强信息安全保护的引导和安全教育,而不是设置一个简单的判断题交给用户自己选择。百度方面也可以选择在程序设置上,做更加明确的提示和说明,让用户对公开隐私信息的后果有更加清楚明确的认识。
页: [1]
查看完整版本: 【转载】百度网盘存分享漏洞?有人搜出了一大堆奇怪的东西...。

捐赠