你是否会将个人照片和重要文件存储在百度网盘当中?是否又将它们分享给他人?如果你曾分享过百度网盘上的资料,那么这些信息很可能已经被第三方搜索引擎所抓取。
以百度网盘为代表的云储存软件为我们的工作生活提供了诸多便利,却也深深埋下信息泄露的隐患。7月18日,微信公众号“差评”发文《我在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据库和无穷无尽的盗版》,文中指出百度网盘中的文件一旦以公开链接的形式分享,任何人均能通过关键词在第三方网盘搜索引擎上搜索并下载。
北京京师律师事务所律师左胜高向《华夏时报》记者表示,网盘搜索应坚守法律和道德底线,尽可能通过设置robots.txt(也称为爬虫协议、机器人协议)避免搜索引擎蜘蛛抓取网盘想要保护的信息。 7月6日,百度云刚刚成为国内较早获颁ISO/IEC27018:2014国际认证(ISO/IEC 27018是目前国际上较权威、较严格也是较被广泛接受和应用的信息安全体系认证)的云服务供应商。对于此次陷入的信息泄露风波,百度网盘官方微博19日发文表示将加大对第三方网盘搜索网站的打击力度,不断创新,从技术上加强用户隐私保护。
网盘漏洞
百度网盘资源外泄本已不是新鲜事。本报4月曾报道过裸贷地下产业链《黑色“裸贷”产业链:大学生贷款何去何从?》,文中提道,去年11月30日,一个10G大的百度网盘流出,内含161位女性的个人信息、亲友联系方式以及私密照片视频。百度网盘的信息安全性一时成为舆论关注的焦点。
如果说之前的网盘外泄是偶发的网站漏洞,那么这次百度网盘被指出的则是其操作固有问题。
这篇由公众号“差评”发布的文章中提道:“一旦分享百度网盘的文件,就会生成一个公链,这个公链就变成了找到文件的钥匙,所有点这个公链的人都可以看到里面的内容……同时,文件也会出现在他们的个人主页上,但百度没有提供适当的提醒。”文章作者还通过各类第三方网盘搜索引擎搜索到某高校毕业生照片、成批量正反面身份证照、大量车主信息以及一些机关单位的通讯录。
除盘搜搜外,网盘搜、网盘007、百度网盘之家、百度云SO等均是网络用户常用的网盘搜索引擎。在知乎上,甚至有各类网盘搜索引擎的排名分类帖,包含44个国内外网盘搜索网站。
这些网盘搜索引擎都有着类似的免责声明。免责声明是否真能免责?在左胜高看来,第三方搜索引擎作为网络运营者也应当遵循合法、正当、必要的原则,做到信息收集、使用的合法可控。“第三方免责声明通常属于霸王条款,该声明并不能排除机器抓取的合法、合理要求,也不能排除非法获取的责任承担。”
与此同时,《网络安全法》 第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
产品逻辑引争议
无论是公开分享,抑或是私密分享,这与百度网盘的产品逻辑和用户的操作习惯不无联系。
所谓产品逻辑,即用户使用百度网盘时,点击“分享”后会出现“加密”和“公开”两种分享方式,用户仅有在选择“加密分享”时,信息才不会被搜索引擎抓取。此外,“加密分享”功能只有通过电脑端可以实现,手机暂无法进行加密。
“公开分享”带来的信息风险,百度网盘并未回避。在《百度网盘服务协议》的第五条“隐私保护”中写道:“当用户公开分享信息时,包括百度在内的各种搜索引擎可能会抓取这些信息。”而且,用户在进行分享方式选择时,“加密”后的括号里注明“仅限拥有密码者可查看,更加隐私安全”,而“公开”则为“任何人可查看或下载,同时出现在分享者的个人主页”。
尽管看上去,百度网盘为信息分享上了“双重保险”,但真的行之有效吗?
记者随机采访了十余个百度网盘用户,他们均表示很少使用电脑端百度网盘,对于私密分享的操作方式也不甚清楚。一位几乎每天都会使用百度网盘的刘女士向记者表示:“知道私密分享但是并不知道公开分享存在这些隐患,从注册百度网盘至今都没有阅读过《百度网盘服务协议》。”
本报记者拨打百度客服,获悉百度网盘并无人工咨询电话,用户只能在线上进行产品反馈。截至记者发稿,百度网盘官方暂未回复记者的多次反馈。
有网络安全专业人士公开向媒体表示,百度网盘的产品逻辑存在问题:电脑版没有考虑到用户习惯,手机版则未向用户提供更多选择;用户习惯直接共享链接的不良操作习惯导致内容被网盘搜索引擎抓取,并在网上成为公共资源。
7月19日,深陷信息安全舆论的百度网盘官方微博作出回应说明。说明提道,用户把数据上传到百度网盘以及加密分享这两项行为,信息安全性均能得到确保,但“公开分享”确有信息泄露的风险。百度网盘表示将加大对第三方网盘搜索网站的打击力度,不断创新从技术上加强用户隐私保护。
作为国内网盘市场的“大户”,百度网盘在4周年之际用户数破4亿大关,上传的文件数量超过5亿个。
(原标题:5亿文件安全吗? 网盘或隐藏泄密通道)
