使用百度云盘之前请先为你的隐私买好保险


百度云空间大、速度快、能离线下载,为什么你还要这么麻烦地用 Dropbox 呢?
来源:http://bohaishibei.com/post/21529/

一年前在知乎上看到这个问题时,我看着回答里的“百度云派”和“Dropbox 派”互撕笑而不语。因为我同时使用了这两个云盘的服务,以及 iCloud 和 OneDrive。
我是一个云同步服务的重度用户,我在 Dropbox、iCloud 和 OneDrive 的免费账号上存储了文稿、通讯录等重要但不怎么占空间的资料,在百度云上存的是手机同步的照片和视频等这些相对不那么重要的大文件。
原因是百度云虽然能够提供 2TB 的超大储存空间,但我本能地对中国互联网公司提供的服务产生了警惕,毕竟不管是 155 云盘还是 UC 网盘、新浪微盘都在今年上半年一一关闭。
而国外网盘虽然需要 VPN、速度没那么快、储存空间还小,但至少他们在用户信息安全上做得更好,也不会动不动就关闭。
这种精明的算计让我觉得自己像是个聪明的利己主义者——吃着社会主义的大锅饭,还薅着资本主义的羊毛。
重要的是,这一切都是免费的。
但这种侥幸的心态并没有为我带来我所期待的信息安全,因为上周我发现我从 2014 年开始同步到百度云盘上的照片和其他资料全部被清空了,我甚至因为相信百度云而没有将这些照片同步到任何别的地方。
可怕的是,不止我一个人遭遇了这样的情况。微博用户@梁小豪同学 在 8 月初发布的一条微博说自己的百度云之前的大量文件全部被删除,同时云盘里还被塞满了小影片。此后《北京日报》的一篇报道也显示多名用户的百度云盘资料被情况,并被塞满了淫秽视频。
百度云给出的答复是用户自己的账号被盗,并“提醒”用户要保管好自己的账号密码,绑定手机号云云。
看完相关的报道我这才知道原来我是被卷入了一个百度云账号买卖黑色产业链的一环:有专门的团队盗取百度云账号,并向这些账号中上传淫秽视频,然后高价卖给买家。
看来我的百度云账号也有可能被塞满了黄片,不过因为发现得晚我没能有幸成为被选中的老司机。
不过我更关心为何大量百度云用户的账号密码会被集中盗走,以及我们还能不能放心地使用百度云的服务了。
在浏览了大量技术论坛后,我才发现批量盗走百度云账号并不是什么难事。在某些黑客论坛上,存储用户信息的数据库被明码标价,任人窃取。
首先登录百度云账号需要邮箱地址或者手机号码与密码的组合,那么黑客怎么获取到这些信息呢?答案就是“撞库”,也就是用已经泄露的网站数据库中找到对应的账号密码信息来登录其他网站。例如网易邮箱的账号数据库曾被泄露,这个数据库里据称存有上亿用户的账号信息。数据库一旦被黑客团队获取就很难追回或者销毁,而网易邮箱也只能告诉用户修改密码了。
可是仅仅修改了网易邮箱的密码又有多大帮助呢?要知道很多人会在不同的网站和服务中使用相同的账号密码组合,例如他们会用网易邮箱的账号和密码登录百度云账号。所以黑客只需要从被泄露的数据库中获取账号密码组合就能盗取大量百度云账号了。
当然这种数据库并不是每个人都可以随便获取到,因为它们只在特定的黑色产业链中流传,并且售价高昂。不过有一种叫做“社工库”的东西能让你免费查到已经过期了的账号密码,以便让你发现自己的密码有没有被泄露。
我尝试在一个社工库中输入自己已经废弃多年的 QQ 邮箱和网易邮箱,发现我曾经在几个网站上注册的账号密码居然被悉数公开。不过放心,大多数容易找到的社工库都会对密码的关键信息进行隐藏处理。

如果是这样的话,黑客是不是也能很轻易地登录到 Dropbox 和 OneDrive 等用户的账号里?但为什么这些国外网盘却比百度云更安全呢?这其中最大的一个区别就是 Dropbox 默认开启了两步验证,而百度则只需要账号密码就可以登录。
两步验证指的是在登录账号时通过移动设备(大多是手机号)进行认证,例如发送验证码和生成临时身份验证码。虽然百度也鼓励用户绑定手机号,但当你登录百度云账号时是不需要进行两步验证的。
另外一个区别是 Dropbox 等国外网盘都在全站启用了 https 加密连接,这种连接方式在用户的浏览器和服务器之间形成了一个加密通道,让其他人无法截取传输的信息。所以相对于普通的 http 传输,https 连接方式更加安全。如果没记错的话,百度云直到最近安全事故频发才启用了 https 加密方式。
所以你看,百度云给了你 2TB 的储存空间,但你的资料在百度云看来根本就不值钱。似乎它也理所应当地认为,自己的用户就应该被这样粗暴地对待。要知道大部分用户只会使用一小部分储存空间,2TB 空间只不过是用来推广和宣传的一个噱头,代价是你的信息随时会被泄漏,你的数据随时会被清空。
发表评论