• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

保存 3500 万 Google Profile 的本地数据库

公司

2011-05-26 08:25

最近这几个月里,倒霉的索尼(Sony)被黑了两次,首先是 PSN 大量用户资料泄漏直接导致 PSN 停摆数周,然后索尼爱立信的在线商店又被黑掉,索尼高层的腰都快直不起来了。这样严重的用户资料失窃,也引发了大众对于云平台安全性的担忧,事实证明,这样的担忧并不是无的放矢。

Thecloud

在过去的几个月里,阿姆斯特丹大学的学生 Matthijs R. Koot,为了自己的论文,对 Google 的安全防护进行了一些试探,结果可能会让你大吃一惊。

Matthijs 在一个月的时间里,用同一个连接,下载了全部 35513445 个 Google profile,并将他们保存在自己的本地数据库里。而在这一个月里,Google 对于如此频繁、连续、有目的性的数据请求,没有做出任何反应。没有速度限制,没有屏蔽,不需要验证,就这样交出了自己的 3500 万用户资料,包括名字、Gmail 地址、Buzz、Twitter、Checkins,甚至还有 Picasa 的相册链接。

事实上,在 08 年底,Google 就已经泄漏了 Google Profile 的全部链接,它的获取是如此容易,让我怀疑在过去的两年半里,已经有不知道多少别有用心的 IT 从业人员(不需要是黑客,因为根本没有难度可言)拿到了类似的用户资料数据库。

感兴趣的话,可以先访问这里:profiles-sitemap.xml,会看到这样的东西:

Voila Capture76

然后随便打开其中任何一个 txt 文件,就可以拿到大量 Google 用户资料的链接,就像这样:

Voila Capture77

事实上,Matthijs 就是这么做的,具体的技术细节我们不做讨论,你只要知道一点,把这些东西下载到本地,进行简单处理并存入数据库,是一个很容易的工作。也许这些东西对于个人来说用处不大,可它们的价值,在这个时代是显而易见的。

从好的方面来讲,很多商家可以利用 Profile 里面的 Location 等信息,来进行营销,当然,真实的成百上千万名字以及 Email 地址也是宝贵的财富;

而坏的方面呢?拥有千万级别 Gmail 地址以及名字的垃圾邮件服务商?依靠丰富个人资料行骗的骗子?或者说,仅仅是 Email 营销服务,对于苦于收集用户 Email 地址的团购网站来说,这简直是难以拒绝的诱惑;

我们总结一下,Google 这样首屈一指的云服务提供商,经验应该说非常丰富了,尚且对自己的用户资料如此马虎。一堆链接,几个简单的脚本,单线下载一个月,你就可以拥有保存着 3500 万 Google 用户资料的本地数据库(这甚至都不违反 Google 的使用协议,因为它们是允许第三方索引用户资料的)。

从这个事情来看,云平台的安全性确实有着极大的隐患,而对于普通用户而言,我想提醒一句,尽量少曝露自己的私人信息,不要把全部资料都交给互联网服务商,即便对方是 Google。

不然的话,也许在不远的将来,就有说着你家乡话的电话打来:

xxx 啊,我是 xxx(Buzz 或者 Twitter 曝露的) 的朋友 xxx,我们那天在 xxx 餐馆(Checkins 曝露的)见过一面,还记得不?

对对,你那天还买了个 xxx (Tweets 曝露的),还叫我们去你家里(Checkins 曝露的)坐坐;

是这样的,xxx 现在 xxx 公司(Tweets 曝露的)很忙,有点事,托我找你帮个忙啊…..

Source: Matthijs R. Koot 1,2

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中