上周,我关注的一个科技公众号发了篇文章——《我在百度网盘上看到上万条车主个人信息,企业、政府高官信息、各种数据库和无穷无尽的盗版。。。》,它如同一颗惊雷,立刻在朋友圈被疯狂转发,阅读量很快突破10万+。我们微信后台也接到不少百度网盘用户对它的安全性提出的问题,本期《何洋开讲》,我给大家统一做个回复。
引发本次百度网盘安全性质疑的根源,是一个叫做“分享”的功能。这个功能的作用,是把用户上传到百度网盘中的文件,通过生成一个“公开链接”(公链)的方式分享给别人,供他人访问下载,以达到文件共享公用的目的。
这是个很方便实用的功能,也是百度网盘短时间内火起来的原因。
虽然百度网盘也有“私密链接”(私链)的功能,需要用户先输入密码才能看到内容,但此前基于用户体验的考量,百度网盘其实一直都在默认引导用户使用公链。
我们想象一个场景:某天你外出旅行,拍了很多照片存在百度网盘上,朋友让你赶紧分享给TA,哪怕你懂得公链和私链的区别,出于方便你多半也可能是生成公链丢给你朋友。
但问题是,很多人无意间就把自己的秘密“公链(布)”了出去。
“云”已经成为现代生产力的刚需。百度网盘这次的事件之所以会引起如此大的风波,关键点还是在百度网盘“公链”出来的秘密包括了私密照片、身份证驾照扫描件、4S店车主信息,甚至还涉及到一些政府领导的信息和军事机密。
而更让人跌破眼镜的是,许多公司竟然还在百度网盘“公链”基础上,建立了搜索平台。也就是说,这些“私密信息”竟然可以通过第三方平台被搜索整理出来!
面对越来越大的质疑声,百度网盘第一时间发表了声明,主要内容如下:
固然,百度网盘的产品设计确实存在一些重大安全隐患:比如,百度网盘在很长一段时间里,都在引导用户使用“公链”作为主要分享方式,且没有明显地向用户提示风险;再例如,百度网盘的APP,会默认同步用户本地的通信录和照片到云端,这些“悄无声息的同步动作”都潜在危及到用户的数据隐私安全。
但是,客观地说,用户对互联网产品的“麻痹大意”、和自身“使用习惯不好”,是造成“数据秘密”泄露的根本原因。对于小白用户来说,确实应该深入了解一下“公链”和“私链”的区别;而对于深度用户来说,克服不良使用习惯,意识到信息安全的重要性就是关键。
百度网盘并不是以保护机密数据为初衷而设计的。
它在普通老百姓心目中是“看片神器”,无论从产品还是技术方面,安全都不是百度网盘的发力方向。百度网盘诞生的使命是——帮助百度打造属于自己的账号体系。
我们在搜索时其实不需要登陆任何账号,也就是说,百度很难做到像淘宝和微信一样的精准用户分析与运营。相较于阿里巴巴和腾讯,百度用户的账号体系也是最不完善的。所以百度网盘从一开始,就肩负了打造百度用户体系的重任,想要快速达成这个目标,百度的策略一定是文件的快速传播和分享。
而百度网盘的“私链”,安全性就可以确保么?
我很遗憾地告诉大家,答案是否定的。
一个简单实验:我将一个名为“机密数据.docx”的文件上传到了百度网盘,在使用“私链”功能后,百度网盘给我生成了一个需要输入密码才能打开的链接。
但只要有一个人通过密码打开了“私链”之后,通过简单的方法我就可以拿到这个文件的原始下载地址,这意味着其他人可以完全绕过“私链”的密码来获得这个“机密数据.docx”文件。用非正常手段将百度网盘的“私链”转成“公链”其实并不需要什么高深的技术,只要掌握初级的网页编程能力便完全可以做到。
一个以安全作为出发点的云端系统,遇到类似问题的时候,应该具备一种“阅后即焚”的机制,也就是说,文件打开过一次之后,其他人再访问是失效的,从而可以确保安全。
“鱼和熊掌不可兼得”,享受到百度网盘的“便利性”,就必然会失去一部分安全性。
用户还是应该基于自身需求选择网盘产品。如果你的需求就是看视频和找视频的话,那百度网盘就是目前市面上最好的产品;但是商业文件、特别是含有商业机密的文件,我不建议企业用百度网盘来存储分享。
那么,如何更好地确保机密文件和商业秘密的安全?
一方面,我们需要克服自身不好的用户习惯,勇于学习和接纳新知识;另一方面,我想呼吁各企业和政府一定要对内强调信息安全的重要性,组织学习相关知识,以防止因为“分享”而造成的机密泄露。
企业和政府办公正朝着“大数据化、移动化、智能化”的目标迈进,而“数据安全”则是达成这个目标的基石。这种新型的、多设备的、跨平台的办公场景,会牵扯到多个环节的文件数据流转,而这又恰恰是传统安全产品所无法覆盖到的。因此,一个完整的解决方案能从顶层设计开始就规范好文件数据的使用权限及流转规则,从而做到全环节覆盖,全环节安全。
在本次百度网盘安全风波中,各大媒体都提到了一个共同点,那就是“重要信息别存网盘”。这里提到的网盘,泛指市面上包括百度网盘在内的公有云存储平台。往期的《何洋开讲》中提到过,公有云就像是租房子,主打灵活;而私有云就像是买房子,主打安全。市面上先进的私有云早就已经可以做到兼具安全和轻量易用,如果你对于文件安全有着刚性需求的话,那私有云将会是你的不二选择。