7月18日,有微信公众号发文称,在百度网盘看到大量私人信息,甚至包括企事业单位内部通讯录。百度网盘虽不自带搜索功能,但通过第三方网盘搜索引擎可查询到百度网盘用户的大量照片、通讯录,甚至不乏政府、高校及公司内部文件等隐私内容。昨天上午,百度网盘在官方微博回应称,将采取更多手段保护用户隐私。
手机号码家庭住址都能看到
“我在百度网盘看到上万条车主、企业、政府信息。”7月18日,有微信公众号发文称,百度网盘上大量隐私信息被流出。随后,记者在不同的第三方网盘搜索引擎输入例如“照片”、“通讯录”、“内部文件”等关键词,每一个搜索引擎都有大量相关信息可随意浏览、下载。
这些信息既包括一些日常生活照片,也有知名高校某届总裁培训班的通讯录,甚至还有明确标注着“内部资料注意保存”的政府文件。
一家网盘搜索引擎自称,其为最大的百度云网盘资源搜索中心,“千万级数据量,让您一网打尽所有的百度网盘资源”。在该网盘搜索引擎输入“照片”,检索到5000多条相关信息。
记者随机打开一位百度网盘用户在今年2月份上传的照片,内容显示,这份名为“2017闺蜜照片”的文件夹共有170多张女性照片,该文件夹的设置为“永久有效”。而在被同样设置为“永久有效”的另一位用户的照片文件夹中,出现了许多衣着较为暴露的女性照片。
而输入“通讯录”的检索结果则有更为详细的私人信息。其中北京某知名高校第六届“总裁研修班”通讯录中,不仅包括参加该研修班的92位成员的姓名、手机号码、家庭住址、工作单位、邮箱,甚至还有每一位成员的照片。根据其中信息显示,这些成员大多为不同企业的总经理或主要负责人。
记者还检索到一份标注为“内部资料注意保存”的政府文件,该文件为某领导小组的与会人员名单,该名单还注明了部分领导的手机号码。
某银行似乎“暴露”得更为彻底,在一份上传时间为2017年6月15日的文件夹中,包括从该银行广州分行、珠海分行、成都各网点到该银行全国科技部高管等十几份不同的通讯录。从公司员工到执行总裁,通讯录收录有他们的职务、座机、地址和手机号码。同样,这份文件夹的有效时间也是“永久有效”。
此外,还有名为“公司内部培训”、广西某市应急突发联络人清单等信息。上述个人或企事业单位的信息,从点击下载到下载完成,只需要几秒钟。而下载过程中也没有要求下载者实名验证的环节。
记者体验发现,用户在百度网盘分享信息是通过分享系统生成该信息的一个链接完成的。此外,用户会收到“加密”还是“公开”的相关提醒,如果选择公开,会出现“任何人可查看或下载,同时出现在您的个人主页”的提醒;但如果选择加密,则会生成一个密码,只有对方获得密码才能查看。
而已经公开的信息内容,只有信息上传者才可以通过点击“取消公开”或删除阻止继续公开。
当事人不知道自己信息被泄露
通过其中一份上传文件,还可以具体检索该用户上传过的其他文件。但大多数上传者除了留下一个网名之外,没有更多的信息,因此无法追溯。
记者联系到一位用户名为“电话号码”的用户,她的百度网盘账户曾上传过一份东北某实验中学通讯录。该通讯录信息显示,有的成员已入职政府部门,有的已是企业领导。“我也不知道怎么回事,但我没有上传过这份通讯录。”陈琦(化名)告诉记者,经她确认,这份通讯录上的人确为自己的中学同学,这些年也有联系。陈琦反复追问记者是如何看到这些信息的,最后以无法核实记者身份为由拒绝透露更多信息。
记者随机拨打了北京某知名高校第六届“总裁研修班”通讯录中一位成员毛先生,他的身份是北京某律师事务所高级合伙人。 “我是在2013年参加的这个班,这个通讯录我们班上每个人都有一份纸质版,但怎么会跑到网上呢?”毛先生认为自己的个人隐私受到了侵犯。
而通讯录中班主任刘女士则向记者证实,毛先生在那一届研修班中担任班长。“我也是头一次知道这个事,现在信息诈骗的、广告推销的太多了,我每天都能接到好多这种电话,而且参加这个班的大多是有一定经济实力的,如果这份通讯录被人利用,还是很令人后怕的。”刘女士说。
上述某银行通讯录中,公司人力资源部王女士听到名单可被随意访问或下载的消息大吃一惊,“我们最近没有安排过通讯录统计,我会向领导汇报这个情况,然后调查是怎么传出去的。”
这些提供入口的网盘搜索引擎都称,所有资源均来自百度网盘等,其只负责技术收集和整理,不承担任何法律责任,“如有侵权违规等其他行为请联系我们”。
2016年下半年,百度曾发布消息称,百度云用户已突破1000万,用户上传的文件数量也超过5亿个。百度云目前提供网盘、通讯录、相册等服务。
百度回应
百度:不公开分享,信息绝不会被他人看到。
为何会有如此多的隐私信息被公开?7月19日上午,对于此事,百度网盘官方微博进行了回应。
回应中称,用户在选择把数据上传到百度网盘后,网盘会确保数据的安全性,不进行公开分享,绝不会被他人看到;创建加密分享,文件也绝不会被搜到。
百度网盘为了保护用户数据安全,避免隐私泄露,在分享文件时,设置了“加密分享”,提示有:选择“加密分享”,仅限拥有密码者查看;而部分用户还是会选择“公开分享”,也有明确提示“公开,即任何人可查看、下载,同时出现在你个人主页”。另外,在百度网盘的用户协议中的“隐私保护”部分也有相关提示,并且呼吁用户在选择分享时设置“加密分享”。
百度方面表示,一贯高度重视用户隐私,不断创新从技术上加强用户隐私保护;同时我们将加大对第三方网盘搜索网站的打击力度。
最后,百度方面称,百度网盘后续会采取更多技术手段,全力保障网盘用户的数据安全和隐私。
律师说法
百度应增加提示 用户也应加强安全意识
北京安杰(深圳)律师事务所合伙人潘翔律师表示,从百度网盘分享的设置程序上看,百度方面还是已经做了相应的提示。但仍然有用户,在主观上不想公开隐私信息,但客观上公开出去了,这说明还是自身的隐私保护意识不强,忽略了相关提醒。“所以这方面的意识还是要加强。”
潘律师认为,作为网盘服务商,百度在信息安全方面的经验和水平明显优于普通用户。因此建议百度方对用户进一步加强信息安全保护的引导和安全教育,而不是设置一个简单的判断题交给用户自己选择。百度方面也可以选择在程序设置上,做更加明确的提示和说明,让用户对公开隐私信息的后果有更加清楚明确的认识。
百度网盘用户数据泄露 该如何防范
来自知乎的Aoilyra 朋友,给出建议,原文如下:
本人致力于在网络隐藏个人信息。在此小抛砖引玉一下,为那些和我有同样想法的人给出一点我自己的建议。
由于爹妈给我名字起的好,还有我这个百家姓第三行以后的姓氏。
让我在北京奥运会之前在各大引擎上搜不到各种结果。
但自从有了一个叫人人的网站,毕竟当年还是Too young,从注册之日起只要搜我的名字,全部是我的动态记录,包括一些羞羞的话题讨论,而且最为坑爹的是,通过修改自己的姓名,删除自己所有的关注和留言回复,注销自己的账号,
但是人人网上的信息特么的—— 永!远!删!不!掉!删!不!掉!
这让作为一个极端讨厌被各大搜索引擎爬区个人信息的人对人人网恨之入骨,
若等到人人倒闭之日,定燃放烟花爆竹庆祝。
在我看来,网络中的个人信息主要分为以下几种:
个人真实信息(包括姓名,身份证,手机号,学号,学历,职业,银行卡,社保卡等)
和资金账户有关的信息(网银,支付宝,微信,证券账户等)
可与真实信息链接起来的普通网络账号信息(QQ,微信,微博,知乎,豆瓣,对公邮箱,普通邮箱,陌陌,二手交易平台等)
其他账号信息(百度贴吧,b站等)
结合我的背景,我认为造成信息泄露的主要原因是—— 信息之间的关联性
如今的网络账户注册主要通过 邮箱 和 手机 ,作为解决这一问题的最根本入口,一般来说只要知道了一个人的QQ和手机号码,结合诸多社交(需要申请通讯录权限的)软件,就可以让一个人的所有个人信息公开透明,所以保护它们至关重要。
手机作为另一大信息的泄漏源,大多是基于财产原因和产品推广,主要容易泄露的途径包括淘宝(尤其是天猫的官方旗舰店经常把客户信息交给第三方广告公司进行数据调研)银行、证券、保险公司(理财产品推销)。
在账号与账号之间,有的时候图一时方便,有些人会用QQ,微信,微博来作为第三方的接入账户,这样,相当于主动把自己的个人信息往外送,而且一旦被授权方数据安全失守,授权方的所有信息就会被提取,后果感人。
还有就是账号的头像,用户名的相似性,通过搜索很容易找到你的其他信息。还有用个人真实头像和姓名也有很高的安全隐患(本人曾经就是一个活生生例子)。
保护你的手机:
一定要有多个手机号,专号专用,可以使用阿里小号或者是用运营商办理共享套餐的分机,或者是办理一个最低消费的套餐;在新办手机挑选号码时,在58等平台上搜索该账号是否曾隶属于他人,避免不必要的信息骚扰。
保护你的邮箱:
选择安全系数高的邮箱(国产邮箱服务商真是不敢恭维)比如微软,谷歌。
本人的策略是利用微软账户注册AppleID,用谷歌账户作为AppleID的验证,用微软账户作为谷歌账户的验证,三重保护,这三者代表当今科技的最高力量,
他们的安全等级是最高的。因此在设置他们的密码时, 务必独立 于其他所有账户的密码加密方式,要绝对避免泄露。如果你用的是苹果产品,那苹果的自带钥匙链可以从密码端避免由于密码过于简单造成个人信息泄露的危险,因此管理好他们三个,你可以做到60分以上的放心。
设置一个和你个人信息无关的邮箱,126,163,新浪易于注册而且不需要你的真实信息,所以在绑定一些不常用的账号的时候,国内的邮箱就派上用场啦,比如一些比如VPN什么的,至少在非技术层面上不会给自己造成太多的麻烦,而且不用太担心丢失的问题。
其次补充一些我生活中的避免泄露的方式:
我不喜欢通过手机号搜到我的太多信息(除了和钱有关的),所以我在去香港旅游的时候,淘宝了一张香港的手机卡,把我所有和原先手机绑定的信息都用香港卡进行了重新绑定,这样做妈妈再也不用担心我的通讯录失守了,或者一些生活中不想遇见的人再关注我扯上不必要的麻烦,这样有一个好:如果将来出了偏差,我可以比西方记者跑的快。
如何废弃自己不想要的账号——首先切记改掉所有的个人资料, 然后注册一个微软账号 ,把所有的账号 唯一验证方式 改为微软邮箱,然后停用这个邮箱(微软邮箱注销后无法进行回收),嗯相当于到最后一步验证时信息无法达到,最后把密码改成一个自己也记不住的,自己用不了,别人盗不了,完美。
淘宝时候如果不是贵重物品,手机留自己的,姓名就不要写真的啦,但是也不要太离谱,让快递叔叔尴尬。
账户加密要有一定的规则,不要太随意,还是之前提到的,如果有苹果设备,请善用钥匙链, 一定要记着开启苹果两步验证,切记!!!
严格做到权限意识,手机有必要的位置,通讯录信息请保护好,需要则开,否则请保护好。如果不是高端玩家,尽量不要越狱或者root。
当然,感谢我的学校、学院、班级,把我的学号银行卡家庭联系方式还有我那根本没有按稿子讲的演讲稿全部署上我的名字公布在网上。(╯-_-)╯╧╧
还有我那可爱的舍友们,你们特么的就为了几张明信片就出卖了舍长大人的个人信息!!!!
当然预防是很重要,三件小事做的再好,也怕后院失火啊!………………
来自cnbeta
返回搜狐,查看更多
责任编辑:
