使用百度云盤之前請先為你的隱私買好保險觀點
文/盛威 Pingwest
百度云空間大、速度快、能離線下載,為什么你還要這么麻煩地用 Dropbox 呢?
一年前在知乎上看到這個問題時,我看著回答里的“百度云派”和“Dropbox 派”互撕笑而不語。因為我同時使用了這兩個云盤的服務(wù),以及 iCloud 和 OneDrive。
我是一個云同步服務(wù)的重度用戶,我在 Dropbox、iCloud 和 OneDrive 的免費賬號上存儲了文稿、通訊錄等重要但不怎么占空間的資料,在百度云上存的是手機同步的照片和視頻等這些相對不那么重要的大文件。
原因是百度云雖然能夠提供 2TB 的超大儲存空間,但我本能地對中國互聯(lián)網(wǎng)公司提供的服務(wù)產(chǎn)生了警惕,畢竟不管是 155 云盤還是 UC 網(wǎng)盤、新浪微盤都在今年上半年一一關(guān)閉。
而國外網(wǎng)盤雖然需要 VPN、速度沒那么快、儲存空間還小,但至少他們在用戶信息安全上做得更好,也不會動不動就關(guān)閉。
這種精明的算計讓我覺得自己像是個聰明的利己主義者——吃著社會主義的大鍋飯,還薅著資本主義的羊毛。
重要的是,這一切都是免費的。
但這種僥幸的心態(tài)并沒有為我?guī)砦宜诖男畔踩驗樯现芪野l(fā)現(xiàn)我從 2014 年開始同步到百度云盤上的照片和其他資料全部被清空了,我甚至因為相信百度云而沒有將這些照片同步到任何別的地方。
可怕的是,不止我一個人遭遇了這樣的情況。微博用戶@梁小豪同學(xué) 在 8 月初發(fā)布的一條微博說自己的百度云之前的大量文件全部被刪除,同時云盤里還被塞滿了小影片。此后《北京日報》的一篇報道也顯示多名用戶的百度云盤資料被情況,并被塞滿了淫穢視頻。
百度云給出的答復(fù)是用戶自己的賬號被盜,并“提醒”用戶要保管好自己的賬號密碼,綁定手機號云云。
看完相關(guān)的報道我這才知道原來我是被卷入了一個百度云賬號買賣黑色產(chǎn)業(yè)鏈的一環(huán):有專門的團(tuán)隊盜取百度云賬號,并向這些賬號中上傳淫穢視頻,然后高價賣給買家。
看來我的百度云賬號也有可能被塞滿了黃片,不過因為發(fā)現(xiàn)得晚我沒能有幸成為被選中的老司機。
不過我更關(guān)心為何大量百度云用戶的賬號密碼會被集中盜走,以及我們還能不能放心地使用百度云的服務(wù)了。
在瀏覽了大量技術(shù)論壇后,我才發(fā)現(xiàn)批量盜走百度云賬號并不是什么難事。在某些黑客論壇上,存儲用戶信息的數(shù)據(jù)庫被明碼標(biāo)價,任人竊取。
首先登錄百度云賬號需要郵箱地址或者手機號碼與密碼的組合,那么黑客怎么獲取到這些信息呢?答案就是“撞庫”,也就是用已經(jīng)泄露的網(wǎng)站數(shù)據(jù)庫中找到對應(yīng)的賬號密碼信息來登錄其他網(wǎng)站。例如網(wǎng)易郵箱的賬號數(shù)據(jù)庫曾被泄露,這個數(shù)據(jù)庫里據(jù)稱存有上億用戶的賬號信息。數(shù)據(jù)庫一旦被黑客團(tuán)隊獲取就很難追回或者銷毀,而網(wǎng)易郵箱也只能告訴用戶修改密碼了。
可是僅僅修改了網(wǎng)易郵箱的密碼又有多大幫助呢?要知道很多人會在不同的網(wǎng)站和服務(wù)中使用相同的賬號密碼組合,例如他們會用網(wǎng)易郵箱的賬號和密碼登錄百度云賬號。所以黑客只需要從被泄露的數(shù)據(jù)庫中獲取賬號密碼組合就能盜取大量百度云賬號了。
當(dāng)然這種數(shù)據(jù)庫并不是每個人都可以隨便獲取到,因為它們只在特定的黑色產(chǎn)業(yè)鏈中流傳,并且售價高昂。不過有一種叫做“社工庫”的東西能讓你免費查到已經(jīng)過期了的賬號密碼,以便讓你發(fā)現(xiàn)自己的密碼有沒有被泄露。
我嘗試在一個社工庫中輸入自己已經(jīng)廢棄多年的 QQ 郵箱和網(wǎng)易郵箱,發(fā)現(xiàn)我曾經(jīng)在幾個網(wǎng)站上注冊的賬號密碼居然被悉數(shù)公開。不過放心,大多數(shù)容易找到的社工庫都會對密碼的關(guān)鍵信息進(jìn)行隱藏處理。
如果是這樣的話,黑客是不是也能很輕易地登錄到 Dropbox 和 OneDrive 等用戶的賬號里?但為什么這些國外網(wǎng)盤卻比百度云更安全呢?這其中最大的一個區(qū)別就是 Dropbox 默認(rèn)開啟了兩步驗證,而百度則只需要賬號密碼就可以登錄。
兩步驗證指的是在登錄賬號時通過移動設(shè)備(大多是手機號)進(jìn)行認(rèn)證,例如發(fā)送驗證碼和生成臨時身份驗證碼。雖然百度也鼓勵用戶綁定手機號,但當(dāng)你登錄百度云賬號時是不需要進(jìn)行兩步驗證的。
另外一個區(qū)別是 Dropbox 等國外網(wǎng)盤都在全站啟用了 https 加密連接,這種連接方式在用戶的瀏覽器和服務(wù)器之間形成了一個加密通道,讓其他人無法截取傳輸?shù)男畔ⅰK韵鄬τ谄胀ǖ?http 傳輸,https 連接方式更加安全。如果沒記錯的話,百度云直到最近安全事故頻發(fā)才啟用了 https 加密方式。
百度云網(wǎng)盤曾長期采用http連接方式
所以你看,百度云給了你 2TB 的儲存空間,但你的資料在百度云看來根本就不值錢。似乎它也理所應(yīng)當(dāng)?shù)卣J(rèn)為,自己的用戶就應(yīng)該被這樣粗暴地對待。要知道大部分用戶只會使用一小部分儲存空間,2TB 空間只不過是用來推廣和宣傳的一個噱頭,代價是你的信息隨時會被泄漏,你的數(shù)據(jù)隨時會被清空。
1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標(biāo)注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控?zé)任;3.作者投稿可能會經(jīng)砍柴網(wǎng)編輯修改或補充。
