百度雲空間大、速度快、能離線下載,為什麼你還要這麼麻煩地用Dropbox呢?
一年前在知乎上看到這個問題時,我看著回答里的「百度雲派」和「Dropbox派」互撕笑而不語。因為我同時使用了這兩個雲盤的服務,以及iCloud和OneDrive。
我是一個雲同步服務的重度用戶,我在Dropbox、iCloud和OneDrive的免費帳號上存儲了文稿、通訊錄等重要但不怎麼占空間的資料,在百度雲上存的是手機同步的照片和視頻等這些相對不那麼重要的大文件。
原因是百度雲雖然能夠提供2TB的超大儲存空間,但我本能地對中國網際網路公司提供的服務產生了警惕,畢竟不管是155雲盤還是UC網盤、新浪微盤都在今年上半年一一關閉。
而國外網盤雖然需要VPN、速度沒那麼快、儲存空間還小,但至少他們在用戶資訊安全上做得更好,也不會動不動就關閉。
這種精明的算計讓我覺得自己像是個聰明的利己主義者——吃著社會主義的大鍋飯,還薅著資本主義的羊毛。
重要的是,這一切都是免費的。
但這種僥倖的心態並沒有為我帶來我所期待的資訊安全,因為上周我發現我從2014年開始同步到百度雲盤上的照片和其他資料全部被清空了,我甚至因為相信百度雲而沒有將這些照片同步到任何別的地方。
可怕的是,不止我一個人遭遇了這樣的情況。微博用戶@梁小豪同學在8月初發布的一條微博說自己的百度雲之前的大量文件全部被刪除,同時雲盤裡還被塞滿了小影片。此後《北京日報》的一篇報導也顯示多名用戶的百度雲盤資料被情況,並被塞滿了淫穢視頻。
百度雲給出的答覆是用戶自己的帳號被盜,並「提醒」用戶要保管好自己的帳號密碼,綁定手機號云云。
看完相關的報導我這才知道原來我是被捲入了一個百度雲帳號買賣黑色產業鏈的一環:有專門的團隊盜取百度雲帳號,並向這些帳號中上傳淫穢視頻,然後高價賣給買家。
看來我的百度雲帳號也有可能被塞滿了黃片,不過因為發現得晚我沒能有幸成為被選中的老司機。
不過我更關心為何大量百度雲用戶的帳號密碼會被集中盜走,以及我們還能不能放心地使用百度雲的服務了。
在瀏覽了大量技術論壇後,我才發現批量盜走百度雲帳號並不是什麼難事。在某些黑客論壇上,存儲用戶信息的資料庫被明碼標價,任人竊取。
首先登錄百度雲帳號需要郵箱地址或者手機號碼與密碼的組合,那麼黑客怎麼獲取到這些信息呢?答案就是「撞庫」,也就是用已經泄露的網站資料庫中找到對應的帳號密碼信息來登錄其他網站。例如網易郵箱的帳號資料庫曾被泄露,這個資料庫里據稱存有上億用戶的帳號信息。資料庫一旦被黑客團隊獲取就很難追回或者銷毀,而網易郵箱也只能告訴用戶修改密碼了。
可是僅僅修改了網易郵箱的密碼又有多大幫助呢?要知道很多人會在不同的網站和服務中使用相同的帳號密碼組合,例如他們會用網易郵箱的帳號和密碼登錄百度雲帳號。所以黑客只需要從被泄露的資料庫中獲取帳號密碼組合就能盜取大量百度雲帳號了。
當然這種資料庫並不是每個人都可以隨便獲取到,因為它們只在特定的黑色產業鏈中流傳,並且售價高昂。不過有一種叫做「社工庫」的東西能讓你免費查到已經過期了的帳號密碼,以便讓你發現自己的密碼有沒有被泄露。
我嘗試在一個社工庫中輸入自己已經廢棄多年的QQ郵箱和網易郵箱,發現我曾經在幾個網站上註冊的帳號密碼居然被悉數公開。不過放心,大多數容易找到的社工庫都會對密碼的關鍵信息進行隱藏處理。
如果是這樣的話,黑客是不是也能很輕易地登錄到Dropbox和OneDrive等用戶的帳號里?但為什麼這些國外網盤卻比百度雲更安全呢?這其中最大的一個區別就是Dropbox默認開啟了兩步驗證,而百度則只需要帳號密碼就可以登錄。
兩步驗證指的是在登錄帳號時通過行動裝置(大多是手機號)進行認證,例如發送驗證碼和生成臨時身份驗證碼。雖然百度也鼓勵用戶綁定手機號,但當你登錄百度雲帳號時是不需要進行兩步驗證的。
另外一個區別是Dropbox等國外網盤都在全站啟用了https加密連接,這種連接方式在用戶的瀏覽器和伺服器之間形成了一個加密通道,讓其他人無法截取傳輸的信息。所以相對於普通的http傳輸,https連接方式更加安全。如果沒記錯的話,百度雲直到最近安全事故頻發才啟用了https加密方式。
所以你看,百度雲給了你2TB的儲存空間,但你的資料在百度雲看來根本就不值錢。似乎它也理所應當地認為,自己的用戶就應該被這樣粗暴地對待。要知道大部分用戶只會使用一小部分儲存空間,2TB空間只不過是用來推廣和宣傳的一個噱頭,代價是你的信息隨時會被泄漏,你的數據隨時會被清空。