3500万份Google Profile个人信心泄露

这年头啊,网络真是个好东西,她给我们提供了无穷的方便的各种信息;网络真是个坏东西,他把我们的很多脚印都悄悄的记录下来,偶尔泄露出去。这个世界不安全,现实中有炸弹不安全;网络上即使没黑客也不够安全。

最近这几个月里,倒霉的索尼(Sony)被黑了两次,首先是 PSN 大量用户资料泄漏直接导致 PSN 停摆数周,然后索尼爱立信的在线商店又被黑掉,索尼高层的腰都快直不起来了。这样严重的用户资料失窃,也引发了大众对于云平台安全性的担忧,事实证明,这样的担忧并不是无的放矢。

这不,在过去的几个月里,阿姆斯特丹大学的学生 Matthijs R. Koot,为了自己的论文,对 Google 的安全防护进行了一些试探,结果可能会让你大吃一惊。

Matthijs 在一个月的时间里,用同一个连接,下载了全部 35513445 个Google profile,并将他们保存在自己的本地数据库里。而在这一个月里,Google 对于如此频繁、连续、有目的性的数据请求,没有做出任何反应。没有速度限制,没有屏蔽,不需要验证,就这样交出了自己的 3500万用户资料,包括名字、Gmail 地址、Buzz、Twitter、Checkins,甚至还有Picasa 的相册链接。

事实上,在08 年底,Google 就已经泄漏了Google Profile 的全部链接,它的获取是如此容易,让我怀疑在过去的两年半里,已经有不知道多少别有用心的 IT 从业人员(不需要是黑客,因为根本没有难度可言)拿到了类似的用户资料数据库。小贴士,内容转自爱范儿: 拇指资讯小众讨论博士牌民工稍作修改。

感兴趣的话,可以先访问这里:profiles-sitemap.xml,会看到这样的东西:

Voila Capture76

然后随便打开其中任何一个 txt 文件,就可以拿到大量 Google 用户资料的链接,就像这样:

Voila Capture77

把这些链接COPY到地址栏里,你就会有惊奇的发现!!!

事实上,Matthijs 就是这么做的,具体的技术细节我们不做讨论,你只要知道一点,把这些东西下载到本地,进行简单处理并存入数据库,是一个很容易的工作。也许这些东西对于个人来说用处不大,可它们的价值,在这个时代是显而易见的。

从好的方面来讲,很多商家可以利用Profile 里面的Location 等信息,来进行营销,当然,真实的成百上千万名字以及Email 地址也是宝贵的财富;而坏的方面呢?拥有千万级别Gmail 地址以及名字的垃圾邮件服务商?依靠丰富个人资料行骗的骗子?或者说,仅仅是Email 营销服务,对于苦于收集用户 Email 地址的团购网站来说,这简直是难以拒绝的诱惑;

我们总结一下,Google 这样首屈一指的云服务提供商,经验应该说非常丰富了,尚且对自己的用户资料如此马虎。一堆链接,几个简单的脚本,单线下载一个月,你就可以拥有保存着3500万Google 用户资料的本地数据库(这甚至都不违反Google 的使用协议,因为它们是允许第三方索引用户资料的)。

从这个事情来看,云平台的安全性确实有着极大的隐患,而对于普通用户而言,我想提醒一句,尽量少曝露自己的私人信息,不要把全部资料都交给互联网服务商,即便对方是Google。

不然的话,也许在不远的将来,就有说着你家乡话的电话打来:

xxx 啊,我是 xxx(Buzz 或者 Twitter 曝露的) 的朋友 xxx,我们那天在 xxx 餐馆(Checkins 曝露的)见过一面,还记得不?

对对,你那天还买了个 xxx (Tweets 曝露的),还叫我们去你家里(Checkins 曝露的)坐坐;

是这样的,xxx 现在 xxx 公司(Tweets 曝露的)很忙,有点事,托我找你帮个忙啊…..

恐怖吧,所以啊,赶紧收起你的手,提高警惕保护自己。

Posted in 科技 | Tagged , , | 12 Comments

12 Responses to 3500万份Google Profile个人信心泄露

  1. tumutanzi says:

    那得看你订阅了什么网站的新闻了。gr是一个不错的东西,虽然有人说rss这玩意儿落伍了,但事实上是谁用谁知道这技术的好处。

  2. 土木坛子 says:

    你这个报道是我看到的消息中最早的一篇报道。最近国内的媒体都开始报道此事了。

  3. 莫也 says:

    博士,换个 链接吧 😳

  4. 小星 says:

    这个很气氛…… 😈

  5. 王尚 says:

    从这个事情来看,云平台的安全性确实有着极大的隐患啊。
    网络上的信息,还是少公布一些好啊。

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>