保存 3500 万 Google Profile 的本地数据库
最近这几个月里,倒霉的索尼(Sony)被黑了两次,首先是 PSN 大量用户资料泄漏直接导致 PSN 停摆数周,然后索尼爱立信的在线商店又被黑掉,索尼高层的腰都快直不起来了。这样严重的用户资料失窃,也引发了大众对于云平台安全性的担忧,事实证明,这样的担忧并不是无的放矢。
在过去的几个月里,阿姆斯特丹大学的学生 Matthijs R. Koot,为了自己的论文,对 Google 的安全防护进行了一些试探,结果可能会让你大吃一惊。
Matthijs 在一个月的时间里,用同一个连接,下载了全部 35513445 个 Google profile,并将他们保存在自己的本地数据库里。而在这一个月里,Google 对于如此频繁、连续、有目的性的数据请求,没有做出任何反应。没有速度限制,没有屏蔽,不需要验证,就这样交出了自己的 3500 万用户资料,包括名字、Gmail 地址、Buzz、Twitter、Checkins,甚至还有 Picasa 的相册链接。
事实上,在 08 年底,Google 就已经泄漏了 Google Profile 的全部链接,它的获取是如此容易,让我怀疑在过去的两年半里,已经有不知道多少别有用心的 IT 从业人员(不需要是黑客,因为根本没有难度可言)拿到了类似的用户资料数据库。
感兴趣的话,可以先访问这里:profiles-sitemap.xml,会看到这样的东西:
然后随便打开其中任何一个 txt 文件,就可以拿到大量 Google 用户资料的链接,就像这样:
事实上,Matthijs 就是这么做的,具体的技术细节我们不做讨论,你只要知道一点,把这些东西下载到本地,进行简单处理并存入数据库,是一个很容易的工作。也许这些东西对于个人来说用处不大,可它们的价值,在这个时代是显而易见的。
从好的方面来讲,很多商家可以利用 Profile 里面的 Location 等信息,来进行营销,当然,真实的成百上千万名字以及 Email 地址也是宝贵的财富;
而坏的方面呢?拥有千万级别 Gmail 地址以及名字的垃圾邮件服务商?依靠丰富个人资料行骗的骗子?或者说,仅仅是 Email 营销服务,对于苦于收集用户 Email 地址的团购网站来说,这简直是难以拒绝的诱惑;
我们总结一下,Google 这样首屈一指的云服务提供商,经验应该说非常丰富了,尚且对自己的用户资料如此马虎。一堆链接,几个简单的脚本,单线下载一个月,你就可以拥有保存着 3500 万 Google 用户资料的本地数据库(这甚至都不违反 Google 的使用协议,因为它们是允许第三方索引用户资料的)。
从这个事情来看,云平台的安全性确实有着极大的隐患,而对于普通用户而言,我想提醒一句,尽量少曝露自己的私人信息,不要把全部资料都交给互联网服务商,即便对方是 Google。
不然的话,也许在不远的将来,就有说着你家乡话的电话打来:
xxx 啊,我是 xxx(Buzz 或者 Twitter 曝露的)的朋友 xxx,我们那天在 xxx 餐馆(Checkins 曝露的)见过一面,还记得不?
对对,你那天还买了个 xxx(Tweets 曝露的),还叫我们去你家里(Checkins 曝露的)坐坐;
是这样的,xxx 现在 xxx 公司(Tweets 曝露的)很忙,有点事,托我找你帮个忙啊…..
