摘要：近日网络上爆发了"百度网盘隐私泄露"的问题，使得信息泄露成为公众关注的热点。百度网盘成为人们生活中寻找资料、存储等需求有利的工具，而百度网盘上存储的个人信息对很多黑灰产是有价值的。本文将介绍一些百度网盘泄露的可能场景以及黑灰产会利用的场景，分析这些信息泄露背后原因，并提出一些个人建议，希望能促使大家重视个人信息安全。

关键词：百度网盘、信息泄漏

前言

如今百度网盘（以下简称网盘）流量独大的时代，人们越来越多的借助百度网盘的大容量、资源多的便利来达到自己需求。方便了自己的同时，大部分人全然已经放下小心，将安全交给网盘或者脑海中完全没有相关的意识去思考过这类的事。这是很可怕的。当我们看到123456这种密码竟然是每年最多人使用的密码时（虽然笔者年少开始玩电脑时，也经常这样干过），我们就能意识到人们享受这类便利的背后安全意识淡薄。

首先我们来回顾下前阵子百度网盘泄露信息的相关信息。

1.人们将许多身份信息以公开分享的方式进行传播，也许是为了图个方便，达到给与别人身份信息的目的。

2.现在有很多网盘相关的搜索引擎，能直接搜索到许多共享链接，只需要在最后一个链接参数里面随机生成这种字符串，即可整理出很多大家共享的链接。然后百度网盘的问题就出现在链接即使加密了，（进一步认识->专业的说是8位md5字符串。md5字符串的好处自然不用说，就是正项加密，反向破解很难。还有一个好处就是让网盘地址保持一个较短的长度，方便共享。）使用暴力循环生成的方法，可以将这些无意义的字符串对应到不同的分享链接里，提取标题和文件名，即可制作成网盘搜索。

3.百度网盘在个人主页分享中，PC 与WAP 之间的权限没有控制好，导致将无法查看到用户信息的PC 端入口转为WAP 时可以越权限查看用户的隐私内容。

从这个泄漏原因可以看出百度网盘确实是做了隐私方面的控制，但由于某些原因，存在着许多设计上的不足。

深挖泄漏场景

目前百度对查看隐私的方法做了处理这里且不谈设计上导致的泄漏，主要以人容易忽略的使用场景为主。

1.使用永久分享的方式对隐私信息进行分享。

我们可以知道，对于那些无密码的链接，只要懂点技术的人写个自动爬取脚本（一种能生成网盘链接并检查网盘链接有效性的程序）简直就是信手拈来。然后通过整理出来的标题进行关键词搜索，一般能够获取到大量信息。

2.使用百度网盘自动备份照片功能

网盘自动帮你备份照片固然是一种简单方便的方法，备份相片一般都会把自己相机拍过的照片自动上传上去，而用户得知的只有自动备份了而对备份了啥不清楚。照片里往往包含了很多信息，笔者曾试验性地利用网盘搜索引擎去搜索关键词IMG_这个关键词，找到了大量的公开分享照片，并通过一个相册看到了如下信息。分享者是个女生，有个老公和可爱的孩子，毕业于开南师范学院。有些人可能觉得这些照片泄漏了没什么，实质上意图不轨的人会将这些信息整合起来，用于微信小号等账号的制作，一方面逃避封号的可能，一方面可以用这些信息构造出一个个虚拟的人物形象。而构造出的这些形象，可能用于博取网络上一些人的同情，隐藏身份等，从而达到一些经济上的目的。

3.使用共享账号登陆百度网盘

共享账号方便了类似笔者等穷人，但这往往是风险较大的，如果是单纯下载资料还行，万一一些朋友是在手机端登录的，网盘还默认帮他备份了信息，照片等，用户却全然不知。或着是用户心真的很大，直接把个人隐私上传到网盘为了分享给别人。这时只要使用共享账号的任何不明身份者如果有意识的话，便会注意到这些隐私。

4.使用第三方破解工具进行下载

我相信第三方工具大部分是好的，甚至用起来比官方的还快，但总是有些图谋不轨的人会包装一个外壳，为了获取你的用户凭证。用户凭证就是你的登录信息，一旦获取到了，对于用户来说，所有的信息都会开放在那些 “坏人”眼里。所以建议安全小白仅使用官方工具就好。

5.设置过于简单的密码

如果密码是方便好记的，对于别人来说，也是方便好破解的。密码泄漏造成的泄漏，自然没啥好说的。

总结及建议：

以上场景都是容易百度网盘使用中容易出现泄漏信息的场景。不单止是百度网盘，很多东西都是相通的，其实程序做的再好，数据保护的再安全都抵抗不住人们复杂的使用环境带来的泄漏问题。人们认识的信息不对称，使许多人都不同程度地遭受信息泄漏带来的问题。

小白必看！深挖百度网盘泄露信息的可能

前言