用户在使用百度云盘进行数据上传和下载过程中,百度云盘客户端和服务器之间的通信是以HTTP协议进行的,而HTTP协议作为传统的网络传输协议,传输的数据是没有经过加密的明文,因此攻击者(黑客)通过对传输的数据进行简单的网络抓包(即对网络上的数据包直接进行截取)就能够窃取明文数据。研究小组仅使用普通的网络抓包软件Fiddler与Wireshark进行网络抓包就验证了上述结果。
比窃取消息更为严重的是,黑客还能够发起“重放攻击”。即利用窃取到的用户历史访问数据,适当修改文件名和路径,就可以对用户的所有数据进行读取和删除操作。如用户曾经向服务器发出过请求“删除文件A”,黑客窃取到该请求并将其修改为“删除文件B”后发送给服务器,可以成功删除文件B。通过对其他同类产品进行安全性分析,结果显示,其他国内主流云储存产品华为网盘、360云盘、天翼云、115网盘和新浪微盘都没有对用户的数据进行加密保护。
提醒用户在使用云盘时需格外小心谨慎,尽量不要用云盘存储私密信息,以防止信息泄露,造成不可挽回的损失,同时建议云盘服务提供商从技术上增强对用户数据的保密。
在面对这些网盘安全性问题的时候,我们应该有一颗中立心,因为这些网盘都是免费提供给存储的,我们不能一味的苛求太多,适当给与它们一些发展的空间与时间。对于个人来说比较隐秘的信息,我们尽量保存在自己的手中。
