安全動態(tài)

用戶私密信息被泄,百度網(wǎng)盤建議“加密”

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-07-22    瀏覽次數(shù):
 

信息來源:secdoctor


        個人照片、畢業(yè)證書存放在百度網(wǎng)盤?如果你分享過鏈接,那么信息可能已經(jīng)被泄露。7月18日,有微信公眾號發(fā)文稱,在百度網(wǎng)盤看到大量私人信息,甚至包括企事業(yè)單位內(nèi)部通訊錄。網(wǎng)友驚呼“被裸奔”。記者調(diào)查發(fā)現(xiàn),百度網(wǎng)盤雖不自帶搜索功能,但通過第三方網(wǎng)盤搜索引擎可查詢到百度網(wǎng)盤用戶的大量照片、通訊錄,甚至不乏政府、高校及公司內(nèi)部文件等隱私內(nèi)容。



 

        百度網(wǎng)盤會提示對信息“加密分享”或“公開分享”,律師認為百度應(yīng)增加風(fēng)險提示。

        記者通過任意查詢的方式在百度網(wǎng)盤查詢到某人的畢業(yè)證書。

        昨天上午,百度網(wǎng)盤在官方微博回應(yīng)稱,將采取更多手段保護用戶隱私。

        手機號碼家庭住址都能看到

        “我在百度網(wǎng)盤看到上萬條車主、企業(yè)、政府信息。”7月18日,有微信公眾號發(fā)文稱,百度網(wǎng)盤上大量隱私信息被流出。隨后,記者在不同的第三方網(wǎng)盤搜索引擎輸入例如“照片”、“通訊錄”、“內(nèi)部文件”等關(guān)鍵詞,每一個搜索引擎都有大量相關(guān)信息可隨意瀏覽、下載。

相關(guān)閱讀:我的百度網(wǎng)盤也被“共享”了?

        這些信息既包括一些日常生活照片,也有知名高校某屆總裁培訓(xùn)班的通訊錄,甚至還有明確標注著“內(nèi)部資料注意保存”的政府文件。

        一家網(wǎng)盤搜索引擎自稱,其為最大的百度云網(wǎng)盤資源搜索中心,“千萬級數(shù)據(jù)量,讓您一網(wǎng)打盡所有的百度網(wǎng)盤資源”。在該網(wǎng)盤搜索引擎輸入“照片”,檢索到5000多條相關(guān)信息。

        記者隨機打開一位百度網(wǎng)盤用戶在今年2月份上傳的照片,內(nèi)容顯示,這份名為“2017閨蜜照片”的文件夾共有170多張女性照片,該文件夾的設(shè)置為“永久有效”。而在被同樣設(shè)置為“永久有效”的另一位用戶的照片文件夾中,出現(xiàn)了許多衣著較為暴露的女性照片。

        而輸入“通訊錄”的檢索結(jié)果則有更為詳細的私人信息。其中北京某知名高校第六屆“總裁研修班”通訊錄中,不僅包括參加該研修班的92位成員的姓名、手機號碼、家庭住址、工作單位、郵箱,甚至還有每一位成員的照片。根據(jù)其中信息顯示,這些成員大多為不同企業(yè)的總經(jīng)理或主要負責(zé)人。

        記者還檢索到一份標注為“內(nèi)部資料注意保存”的政府文件,該文件為某領(lǐng)導(dǎo)小組的與會人員名單,該名單還注明了部分領(lǐng)導(dǎo)的手機號碼。

        某銀行似乎“暴露”得更為徹底,在一份上傳時間為2017年6月15日的文件夾中,包括從該銀行廣州分行、珠海分行、成都各網(wǎng)點到該銀行全國科技部高管等十幾份不同的通訊錄。從公司員工到執(zhí)行總裁,通訊錄收錄有他們的職務(wù)、座機、地址和手機號碼。同樣,這份文件夾的有效時間也是“永久有效”。

        此外,還有名為“公司內(nèi)部培訓(xùn)”、廣西某市應(yīng)急突發(fā)聯(lián)絡(luò)人清單等信息。上述個人或企事業(yè)單位的信息,從點擊下載到下載完成,只需要幾秒鐘。而下載過程中也沒有要求下載者實名驗證的環(huán)節(jié)。

        記者體驗發(fā)現(xiàn),用戶在百度網(wǎng)盤分享信息是通過分享系統(tǒng)生成該信息的一個鏈接完成的。此外,用戶會收到“加密”還是“公開”的相關(guān)提醒,如果選擇公開,會出現(xiàn)“任何人可查看或下載,同時出現(xiàn)在您的個人主頁”的提醒;但如果選擇加密,則會生成一個密碼,只有對方獲得密碼才能查看。

        而已經(jīng)公開的信息內(nèi)容,只有信息上傳者才可以通過點擊“取消公開”或刪除阻止繼續(xù)公開。

        當事人不知道自己信息被泄露

        通過其中一份上傳文件,還可以具體檢索該用戶上傳過的其他文件。但大多數(shù)上傳者除了留下一個網(wǎng)名之外,沒有更多的信息,因此無法追溯。

        記者聯(lián)系到一位用戶名為“電話號碼”的用戶,她的百度網(wǎng)盤賬戶曾上傳過一份東北某實驗中學(xué)通訊錄。該通訊錄信息顯示,有的成員已入職政府部門,有的已是企業(yè)領(lǐng)導(dǎo)?!拔乙膊恢涝趺椿厥?,但我沒有上傳過這份通訊錄?!标愮?化名)告訴記者,經(jīng)她確認,這份通訊錄上的人確為自己的中學(xué)同學(xué),這些年也有聯(lián)系。陳琦反復(fù)追問記者是如何看到這些信息的,最后以無法核實記者身份為由拒絕透露更多信息。

        記者隨機撥打了北京某知名高校第六屆“總裁研修班”通訊錄中一位成員毛先生,他的身份是北京某律師事務(wù)所高級合伙人。 “我是在2013年參加的這個班,這個通訊錄我們班上每個人都有一份紙質(zhì)版,但怎么會跑到網(wǎng)上呢?”毛先生認為自己的個人隱私受到了侵犯。

        而通訊錄中班主任劉女士則向記者證實,毛先生在那一屆研修班中擔任班長?!拔乙彩穷^一次知道這個事,現(xiàn)在信息詐騙的、廣告推銷的太多了,我每天都能接到好多這種電話,而且參加這個班的大多是有一定經(jīng)濟實力的,如果這份通訊錄被人利用,還是很令人后怕的?!眲⑴空f。

        上述某銀行通訊錄中,公司人力資源部王女士聽到名單可被隨意訪問或下載的消息大吃一驚,“我們最近沒有安排過通訊錄統(tǒng)計,我會向領(lǐng)導(dǎo)匯報這個情況,然后調(diào)查是怎么傳出去的?!?

        這些提供入口的網(wǎng)盤搜索引擎都稱,所有資源均來自百度網(wǎng)盤等,其只負責(zé)技術(shù)收集和整理,不承擔任何法律責(zé)任,“如有侵權(quán)違規(guī)等其他行為請聯(lián)系我們”。

        2016年下半年,百度曾發(fā)布消息稱,百度云用戶已突破1000萬,用戶上傳的文件數(shù)量也超過5億個。百度云目前提供網(wǎng)盤、通訊錄、相冊等服務(wù)。

■ 回應(yīng)

百度:不公開分享,信息絕不會被他人看到

        為何會有如此多的隱私信息被公開?7月19日上午,對于此事,百度網(wǎng)盤官方微博進行了回應(yīng)。

回應(yīng)中稱,用戶在選擇把數(shù)據(jù)上傳到百度網(wǎng)盤后,網(wǎng)盤會確保數(shù)據(jù)的安全性,不進行公開分享,絕不會被他人看到;創(chuàng)建加密分享,文件也絕不會被搜到。

        百度網(wǎng)盤為了保護用戶數(shù)據(jù)安全,避免隱私泄露,在分享文件時,設(shè)置了“加密分享”,提示有:選擇“加密分享”,僅限擁有密碼者查看;而部分用戶還是會選擇“公開分享”,也有明確提示“公開,即任何人可查看、下載,同時出現(xiàn)在你個人主頁”。另外,在百度網(wǎng)盤的用戶協(xié)議中的“隱私保護”部分也有相關(guān)提示,并且呼吁用戶在選擇分享時設(shè)置“加密分享”。

        百度方面表示,一貫高度重視用戶隱私,不斷創(chuàng)新從技術(shù)上加強用戶隱私保護;同時我們將加大對第三方網(wǎng)盤搜索網(wǎng)站的打擊力度。

        最后,百度方面稱,百度網(wǎng)盤后續(xù)會采取更多技術(shù)手段,全力保障網(wǎng)盤用戶的數(shù)據(jù)安全和隱私。

■ 律師說法

        百度應(yīng)增加提示 用戶也應(yīng)加強安全意識

        北京安杰(深圳)律師事務(wù)所合伙人潘翔律師表示,從百度網(wǎng)盤分享的設(shè)置程序上看,百度方面還是已經(jīng)做了相應(yīng)的提示。但仍然有用戶,在主觀上不想公開隱私信息,但客觀上公開出去了,這說明還是自身的隱私保護意識不強,忽略了相關(guān)提醒。“所以這方面的意識還是要加強?!?

        潘律師認為,作為網(wǎng)盤服務(wù)商,百度在信息安全方面的經(jīng)驗和水平明顯優(yōu)于普通用戶。因此建議百度方對用戶進一步加強信息安全保護的引導(dǎo)和安全教育,而不是設(shè)置一個簡單的判斷題交給用戶自己選擇。百度方面也可以選擇在程序設(shè)置上,做更加明確的提示和說明,讓用戶對公開隱私信息的后果有更加清楚明確的認識。


 
 

上一篇:國務(wù)院印發(fā)新一代人工智能發(fā)展規(guī)劃

下一篇:2017年07月22日 聚銘安全速遞