使用百度云盤之前請先為你的隱私買好保險(xiǎn)觀點(diǎn)
文/盛威 Pingwest
百度云空間大、速度快、能離線下載,為什么你還要這么麻煩地用 Dropbox 呢?
一年前在知乎上看到這個(gè)問題時(shí),我看著回答里的“百度云派”和“Dropbox 派”互撕笑而不語。因?yàn)槲彝瑫r(shí)使用了這兩個(gè)云盤的服務(wù),以及 iCloud 和 OneDrive。
我是一個(gè)云同步服務(wù)的重度用戶,我在 Dropbox、iCloud 和 OneDrive 的免費(fèi)賬號上存儲了文稿、通訊錄等重要但不怎么占空間的資料,在百度云上存的是手機(jī)同步的照片和視頻等這些相對不那么重要的大文件。
原因是百度云雖然能夠提供 2TB 的超大儲存空間,但我本能地對中國互聯(lián)網(wǎng)公司提供的服務(wù)產(chǎn)生了警惕,畢竟不管是 155 云盤還是 UC 網(wǎng)盤、新浪微盤都在今年上半年一一關(guān)閉。
而國外網(wǎng)盤雖然需要 VPN、速度沒那么快、儲存空間還小,但至少他們在用戶信息安全上做得更好,也不會(huì)動(dòng)不動(dòng)就關(guān)閉。
這種精明的算計(jì)讓我覺得自己像是個(gè)聰明的利己主義者——吃著社會(huì)主義的大鍋飯,還薅著資本主義的羊毛。
重要的是,這一切都是免費(fèi)的。
但這種僥幸的心態(tài)并沒有為我?guī)砦宜诖男畔踩驗(yàn)樯现芪野l(fā)現(xiàn)我從 2014 年開始同步到百度云盤上的照片和其他資料全部被清空了,我甚至因?yàn)橄嘈虐俣仍贫鴽]有將這些照片同步到任何別的地方。
可怕的是,不止我一個(gè)人遭遇了這樣的情況。微博用戶@梁小豪同學(xué) 在 8 月初發(fā)布的一條微博說自己的百度云之前的大量文件全部被刪除,同時(shí)云盤里還被塞滿了小影片。此后《北京日報(bào)》的一篇報(bào)道也顯示多名用戶的百度云盤資料被情況,并被塞滿了淫穢視頻。
百度云給出的答復(fù)是用戶自己的賬號被盜,并“提醒”用戶要保管好自己的賬號密碼,綁定手機(jī)號云云。
看完相關(guān)的報(bào)道我這才知道原來我是被卷入了一個(gè)百度云賬號買賣黑色產(chǎn)業(yè)鏈的一環(huán):有專門的團(tuán)隊(duì)盜取百度云賬號,并向這些賬號中上傳淫穢視頻,然后高價(jià)賣給買家。
看來我的百度云賬號也有可能被塞滿了黃片,不過因?yàn)榘l(fā)現(xiàn)得晚我沒能有幸成為被選中的老司機(jī)。
不過我更關(guān)心為何大量百度云用戶的賬號密碼會(huì)被集中盜走,以及我們還能不能放心地使用百度云的服務(wù)了。
在瀏覽了大量技術(shù)論壇后,我才發(fā)現(xiàn)批量盜走百度云賬號并不是什么難事。在某些黑客論壇上,存儲用戶信息的數(shù)據(jù)庫被明碼標(biāo)價(jià),任人竊取。
首先登錄百度云賬號需要郵箱地址或者手機(jī)號碼與密碼的組合,那么黑客怎么獲取到這些信息呢?答案就是“撞庫”,也就是用已經(jīng)泄露的網(wǎng)站數(shù)據(jù)庫中找到對應(yīng)的賬號密碼信息來登錄其他網(wǎng)站。例如網(wǎng)易郵箱的賬號數(shù)據(jù)庫曾被泄露,這個(gè)數(shù)據(jù)庫里據(jù)稱存有上億用戶的賬號信息。數(shù)據(jù)庫一旦被黑客團(tuán)隊(duì)獲取就很難追回或者銷毀,而網(wǎng)易郵箱也只能告訴用戶修改密碼了。
可是僅僅修改了網(wǎng)易郵箱的密碼又有多大幫助呢?要知道很多人會(huì)在不同的網(wǎng)站和服務(wù)中使用相同的賬號密碼組合,例如他們會(huì)用網(wǎng)易郵箱的賬號和密碼登錄百度云賬號。所以黑客只需要從被泄露的數(shù)據(jù)庫中獲取賬號密碼組合就能盜取大量百度云賬號了。
當(dāng)然這種數(shù)據(jù)庫并不是每個(gè)人都可以隨便獲取到,因?yàn)樗鼈冎辉谔囟ǖ暮谏a(chǎn)業(yè)鏈中流傳,并且售價(jià)高昂。不過有一種叫做“社工庫”的東西能讓你免費(fèi)查到已經(jīng)過期了的賬號密碼,以便讓你發(fā)現(xiàn)自己的密碼有沒有被泄露。
我嘗試在一個(gè)社工庫中輸入自己已經(jīng)廢棄多年的 QQ 郵箱和網(wǎng)易郵箱,發(fā)現(xiàn)我曾經(jīng)在幾個(gè)網(wǎng)站上注冊的賬號密碼居然被悉數(shù)公開。不過放心,大多數(shù)容易找到的社工庫都會(huì)對密碼的關(guān)鍵信息進(jìn)行隱藏處理。
如果是這樣的話,黑客是不是也能很輕易地登錄到 Dropbox 和 OneDrive 等用戶的賬號里?但為什么這些國外網(wǎng)盤卻比百度云更安全呢?這其中最大的一個(gè)區(qū)別就是 Dropbox 默認(rèn)開啟了兩步驗(yàn)證,而百度則只需要賬號密碼就可以登錄。
兩步驗(yàn)證指的是在登錄賬號時(shí)通過移動(dòng)設(shè)備(大多是手機(jī)號)進(jìn)行認(rèn)證,例如發(fā)送驗(yàn)證碼和生成臨時(shí)身份驗(yàn)證碼。雖然百度也鼓勵(lì)用戶綁定手機(jī)號,但當(dāng)你登錄百度云賬號時(shí)是不需要進(jìn)行兩步驗(yàn)證的。
另外一個(gè)區(qū)別是 Dropbox 等國外網(wǎng)盤都在全站啟用了 https 加密連接,這種連接方式在用戶的瀏覽器和服務(wù)器之間形成了一個(gè)加密通道,讓其他人無法截取傳輸?shù)男畔ⅰK韵鄬τ谄胀ǖ?http 傳輸,https 連接方式更加安全。如果沒記錯(cuò)的話,百度云直到最近安全事故頻發(fā)才啟用了 https 加密方式。
百度云網(wǎng)盤曾長期采用http連接方式
所以你看,百度云給了你 2TB 的儲存空間,但你的資料在百度云看來根本就不值錢。似乎它也理所應(yīng)當(dāng)?shù)卣J(rèn)為,自己的用戶就應(yīng)該被這樣粗暴地對待。要知道大部分用戶只會(huì)使用一小部分儲存空間,2TB 空間只不過是用來推廣和宣傳的一個(gè)噱頭,代價(jià)是你的信息隨時(shí)會(huì)被泄漏,你的數(shù)據(jù)隨時(shí)會(huì)被清空。
1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控?zé)任;3.作者投稿可能會(huì)經(jīng)砍柴網(wǎng)編輯修改或補(bǔ)充。
