文丨金融之家 药糖
金融之家7月20日讯,7月初,2017首届中国数据安全峰会召开,与会者提出网络黑灰产业比安全产业发展更快,提醒广大用户注意保护自身数据安全。7月未过,百度网盘泄露用户大量隐私被曝出,事实再一次证明,网络安全建设已经刻不容缓。
7月18日,有媒体对外宣称,在百度网盘可以看到大量私人信息,这些信息不仅包括个人隐私,甚至连公司、高校、政府内部文件等隐私内容均可看到。消息一出,舆论哗然。
深入调查发现,虽然百度网盘并不自带搜索功能,但通过使用第三方网盘搜索引擎,便可轻松查询百度网盘用户的大量隐私信息,用户在毫不知情的情况下,早已陷入“被裸奔”的危险境地。
某家网盘搜索引擎宣称,其为当前最大的百度云网盘资源搜索中心,并坦言“千万级数据量,让您一网打尽所有的百度网盘资源”。搜索者只需在搜索引擎输入“照片”、“通讯录”、“内部文件”等关键词,数以万计的相关信息便一一呈现。搜索者不仅可以随意查看这些信息,甚至可以在几秒钟内轻松下载,下载过程中并无要求下载者实名验证等环节。
据悉,这些信息通常设置为“永久有效”。故无论社会公众还是企事业单位,甚至是标注“内部资料注意保存”的政府文件,就这样在不知不觉中“被裸奔”了。倘若这些信息被不法分子窃取利用,后果不堪设想。
在该网盘搜索引擎输入“照片”,检索到5000多条相关信息,数量之大令人震惊。其中一份名为“2017闺蜜照片”的文件夹共有170多张女性照片,此外还有文件夹中的照片穿着较为暴露,上传者无论情愿与否,这些照片已经暴露于光天化日之下。
在该搜索引擎输入“通讯录”后的检索结果不仅数量大,甚至包含更为详细的私人信息。在一份北京某知名高校第六届“总裁研修班”的通讯录中,不仅包括参加该研修班的92位成员的姓名、手机号码、家庭住址、工作单位、邮箱,甚至还有每一位成员的照片。这些成员多在不同企业任职总经理或主要负责人等重要岗位。
除了以上公众信息,作为金融机构的银行也被轻易攻破。通过搜所发现某银行在2017年6月15日上传的一份文件夹,包括从该银行广州分行、珠海分行、成都各网点到该银行全国科技部高管等十几份不同的通讯录,通讯录收录着从执行总裁到员工的职务、座机、地址和手机号码,所有信息暴露无遗。
那么用户隐私是如何泄露的呢?原来,用户在百度网盘分享信息实际是分享该信息在网盘所形成的一个链接。分享时,用户会收到“加密”或“公开”的相关提醒。若选择“加密”,则会生成一个密码,对方只有获取密码方可查看;若选择“公开”,会出现“任何人可查看或下载,同时出现在您的个人主页”的提醒。
需要注意的是,分享时选择“公开”的信息内容,只有信息上传者才可以通过“取消公开”或删除信息等方式,阻止信息继续公开。或许正是选择“公开”存在的漏洞,才造成大量用户隐私泄露。
对此,有法律人士提醒广大用户,从百度网盘分享的设置程序上看,百度方面已做出相应提示。但仍然有用户主观上不想公开隐私信息,但客观上却因自身操作失误将隐私公开。故用户首先应加强自身隐私保护意识。此外,百度方面也可以选择在程序设置上,做更加明确的提示和说明,让用户对公开隐私信息的后果有更加清楚明确的认识。
针对舆论质疑,百度网盘于7月19日上午通过官方微博回应,用户在选择把数据上传到百度网盘后,网盘会确保数据的安全性,不进行公开分享,绝不会被他人看到;创建加密分享,文件也绝不会被搜到。百度网盘称后续会采取更多技术手段,全力保障网盘用户的数据安全和隐私。
如今,大量百度网盘用户“被裸奔”已是不争的事实,广大用户只能和百度网盘携手,共同致力于隐私保护工作。只希望亡羊补牢,犹未晚矣。