奔跑中的奶酪

你的百度网盘资源,离泄密有多近?

导读

你的百度网盘资源,离泄密有多近?

近几年来,“万能钥匙”的概念可以说非常火热,比如“Wi-Fi万能钥匙”就已经超过10亿的装机量。去年还出现了一款叫“云盘万能钥匙”的浏览器拓展,它可以在你访问加密共享资源时,自动识别并填入提取码,甚至在你不知道提取码的情况下,也能从云端数据库获得提取码。

拓展发布后立即备受追捧,甚至被称为是年度最受欢迎拓展。然而,奶酪发现这款拓展有着严重的隐私风险,你通过百度网盘私密分享的个人原创资源、公司内部资料、情侣私密视频、朋友聚会照片,都有可能在你不知情的情况下被公开。

如果你正在使用这款拓展,那你很有可能正遭受着泄密的风险

一、互联网早期的互助精神

万能钥匙这样的密码共享机制其实不算新鲜,早在2003年,29岁的 Guy King 就创建了一个叫 BugMeNot 的网站,意思是“不要窃听我”。作用是提供用于登录网站论坛的帐号和密码,因为一些网站注册时需要填写信用卡号,出于对隐私的担心,共享帐号也就应运而生。

BugMeNot 的使用方法很简单,只需要输入某个网站的域名,点击搜索就会得到用于登录该网站的帐号和密码,搜索结果会显示可用帐号以及成功率。当然,也并不是所有的网站都有效,但大多数是有效的。

BUG ME NOT

(BugMeNot ↑)

一些网站论坛为了活跃度,设置资源需要册后才能下载,这本无可厚非。可问题是,这类型的网站论坛数量非常的多,总不能为了下载一个资源就把这些论坛都注册个遍吧,而且你把资源下载完后,很大概率是不会再访问这些网站了。更让人抓狂的是,即便你注册了帐号,有可能还需要等待一段时间,又或者需要达到某个等级才能下载。

而 BugMeNot 的出现,解决了以上所有问题,因而它也被称为“万能帐号”。(支持 Firefox / Chrome 拓展)

二、侵犯隐私的共享工具

但 Wi-Fi万能钥匙、云盘万能钥匙 和 BugMeNot 有着根本的不同,BugMeNot 是为了保护隐私而诞生的效率工具,而另外两个却是为了效率而牺牲隐私。

Wi-Fi 万能钥匙的工作原理,是将手机里储存的 WiFi 密码信息上传到服务器,以达到收集数据的目的,但这个过程极有可能是你在不知情的情况下发生的,而且即使你没有使用 Wi-Fi 万能钥匙,没有安装它们的 APP,你的 WiFI 密码仍旧有泄露的风险。

比如朋友来你家做客,朋友问你家的 WiFi 密码多少,然后你把密码告诉他,这看上去没有什么,可如果你的朋友手机里装了 Wi-Fi 万能钥匙,那你的 WiFi 密码就会在你不知情的情况下被传到云端数据库,结果第二天,随便一个陌生人都能通过 Wi-Fi万能钥匙连接你家的 WiFi。

Wi-Fi万能钥匙

(Wi-Fi万能钥匙 ↑)

云盘万能钥匙的工作原理很类似

拓展在使用介绍中写道:“当你在解锁一个网盘链接时,输入了正确的提取密码,系统会自动记录下来传到云端数据库,当其他人再次访问该链接时,系统根据从云端数据库匹配对应的密码,填写并自动提交,这个过程是完全自动的”。

云盘万能钥匙

(云盘万能钥匙 ↑)

但如果只考虑效率,那导致的后果可能是灾难的。一个好的共享模式,最重要的是用户要有知情权。

BugMeNot 的所有帐号密码都是用户主动上传而来,因此不存在用户不知情的情况。Wi-Fi 万能钥匙经过央视 315 爆光后也老实多了,默认的情况下不再主动上传用户数据,需要用户勾选允许分享数据后才会上传。

而云盘万能钥匙默认就是自动分享数据的,用户极其可能不知道自己的数据已经被上传,云盘万能钥匙目前已经收集超过100万条的数据,有多少数据是用户在不知情的被上传到云端数据库的,可想而知。与此同时,用于查取云盘私密资源提取码的软件也比比皆是。

万能云精灵

Wi-Fi 万能钥对于数据上传是这样解释的:

如果您安装了云盘万能钥匙,默认是自动分享状态的,扩展中已经加入暂停分享功能,以在特殊情况下保护您的隐私不被泄漏。需要注意的是,自动分享一旦被关闭,也就无法帮你自动填提取密码了,所谓权利即义务,希望大家理解。

云盘万能钥匙

(云盘万能钥匙 ↑)

我们相信,这款拓展最初的愿景是好的,希望解决填写提取码麻烦的问题。但接下来拓展默认自动收集提取码,并建立与之相关的资源收费社区,则说明该拓展有通过收集用户数据来获得利益。而且我们发现云盘万能钥匙的主页没有备案信息,没有负责人,也没有可以联系的人(邮箱算不上联系人),也不属于任何企业组织,可以说是一个“三无产品”,随时都有跑路的可能。

使用 Wi-Fi 万能钥,虽然能给你带来填写提取码上的便利,但同时你的网盘资源也可能会承担巨大的安全风险。

三、隐私保护解决方案

好的共享模式,除了知情权外,用户还需要有决定权,即决定自己的资源是否共享出去。云盘万能钥匙虽然提供了分享关闭选项,但自动填写提取码的功能也随即失效,只留下了“失效链接检测”的功能。不过好在有相应的脚本可以代替自动填写提取码的功能。操作方法如下:

1、删除云盘万能钥匙,或者设置云盘万能钥匙为禁用分享提取密码。
2、使用脚本“网盘助手”来代替云盘万能钥匙的自动填写功能。
3、在脚本的“设置页面”,取消勾选“共享提取码”的选项。

云盘万能钥匙

(设置取消分享提取码 ↑)

以上选项设置,今天在奶酪定制的 FirefoxChrome 浏览器中已经同步更新,大家尽管放心下载使用。

结尾

李彦宏说:“多数情况下,中国人愿用隐私交换便捷性,没那么敏感”。其实他只不过说出了一个大家不愿意承认的事实罢了。除去一些无法选择的情况,中国人很多时候对隐私不够重视,愿意用隐私去交换便捷,在“万能钥匙”这件事上就能得到体现。

1、本文由 奔跑中的奶酪 原创创作,欢迎 打赏,欢迎转载,但要注明出处,欢迎订阅关注,欢迎留言评论。
2,欢迎关注奶酪 公众号(ID: runningcheese01)订阅博客里没有的内容,回复关键字"万能钥匙",获取文章中提到的私密资源提取码查询软件,以及奶酪所有原创资源下载。

注:本文由 奔跑中的奶酪 作者:奔跑中的奶酪 发表,其版权均为作者所有,如需转载,请注明作者名字以及文章来源。
16
avatarJesse

评论:

1 条评论,访客:1 条,站长:0 条
  1. 机甲600
    机甲600发布于: 

    可是firefoxV10有装这个扩展(关闭了自动上传),我应该换成脚本吗

发表评论