互联网时代,我们的生活趋向数字化,虽然个人隐私保护的倡导者们一直在努力消除网上活动留下的痕迹,但结果却事与愿违。其实,对于个人隐私,我们自己才是要面对的最大的敌人,特别是“个人云应用”的出现加重了这种局面。
(注:个人云应用这个词看上去会有些令人不明所以。在本文中,个人云应用的含义是你在家将文件存储在设备上或网络上,以便可以通过互联网访问它们。通过个人云应用,你不论何时何地都可以在联网的设备上访问文件。)
只需简单的搜索就能获得个人敏感信息
每天,世界各地的数百万人都在备份个人文件。备份的初衷是为文件寻找安全的存储场所,并在需要时进行恢复,然而实际情况与此相去甚远。事实上,任何有明确寻找目标的人都可以免费获得你的备份文件,只不过是获得途径会基于你使用的备份设备有所不同罢了。
对消费者而言,个人云应用的诱惑在于随时随地都可以进行访问。你想和家里的其他人共享文件?有设备能提供这样的功能。如果你在出差或度假时还想访问家里的文件,也有很多基于软件或硬件的解决方案等待着你。
但如果你用安全性来换取访问简便,情况可能很快就会变的糟糕。
一次搜索测试
想象一下,如果你在硬盘上存储过的所有文件突然出现在谷歌上,人们会通过这些文件对你作出什么样的判断?他们又能了解到多少你的商业和人际关系?
不信你可以试试,仅仅通过几次简单的谷歌搜索,就能够在网络上发现数以千计的个人记录和文件。它们通常是私人文件。不过其中也有商业文件,这些敏感的商业文件可能会招致监管,甚至使竞争对手从中获利。对于教育和政府机构泄露的文件而言,就更是如此了。
文件泄露的原因是人们使用错误配置的设备作为个人云中心,或者在路由器上意外启动了FTP功能。不过,有些案例中,这类设置是有意选取的,但人们并不了解这类配置可能产生的后果。但不论原因如何,结果是相同的。
我们讨论的设备可以是FTP服务器,使用人们的IP或主机名作为地址。文件备份的路径都很清晰,并且不需要授权即可访问。因为如此,搜索引擎会把这些外部硬盘作为公共档案进行检索。
不幸的是,对于一些人而言,谷歌收集到的记录已经足够复现他们的整个生活了。他们过去十年中所有的胜利、损失、个人的挣扎在不知不觉中被放到了整个世界的镜头之下。
在简单的几次搜索之后,我们发现的文档年限最早可以追溯到2004年,但也有一些文档较新,更新于2015年3月。这些被谷歌收录的文件包括:
例如个人照片(SFW或NSFW格式)、个人日志和日记、Email通信、一般家庭文件和记录;密码、身份证、出生记录、死亡记录、护照;财务报表、纳税记录、信用卡账单和明细账户、银行报表和账户明细、抵押文件;客户名单、销售计划、研究和开发计划等文件。
在其中的一份文档中,含有大量个人信息。这份档案包括自2009年起的家庭计算机备份记录。它以前可能存储在这家人使用的计算机上,但最后被移到了他们使用的西部数据硬盘上,并被谷歌所收录。
但外部存储设备并不是问题的根源。他们的路由器——Linksys的WRT1900AC型,不知为什么打开了FTP功能。其原因不明,但由于硬盘链接到了路由器上,其中的数据就会被谷歌当成公开文件。
通过浏览硬盘上的文件,完全有可能复现这一家人在过去五年里的个人情况和财务历史。研究人员联系到这家人,警告他们泄露了自家的敏感文件,并把相关文件从搜索结果中删除。当事人给研究人员分享了一个有趣的故事。
在去年年终的时候,他们的账单和信用卡连续被入侵。家庭中的一员说,“我就是不明白为什么有人能在我激活银行卡几分钟后就获取到卡的信息。我的系统是干净的,相比一般人采取了更多的安全措施。”
“现在我知道了,如果我的备份信息被谷歌公开检索到后,实现这一点并不难。因为我有个习惯,会将银行卡信息都集中存储到一个文本文档中,像其他找到的文件那样。当我在重新申请银行卡,并且没有更新文档中银行卡信息的情况下,攻击就停止了。从个人的立场而言,路由器上的很多信息我并不想分享给别人,特别是陌生人,因为这些信息可能包含了敏感信息等。”
如何在网上找到这些文件?
通过标准的搜索设置,就可以在谷歌上搜到这些文件。
比如下面这条搜索语句可以通过更改XXXX的内容来针对任何网站搜索某种格式的文档--
allinurl:ftp:// XXXX filetype:txt | xls | doc | docx | jpg | jpeg | pdf
这种搜索设置会告诉谷歌在XXXX的地址下搜索包括文本文档、PDF、Word文件、Excel文件或者图片的FTP地址。
任何人只要在路由器上启动了FTP,并将存储设备连接到互联网,或者使用提供公有云服务的设备但配置方式是错误的,都会出现在搜索结果中。
我怎么知道自己的文件是不是上网了?
1. 搜索你的主机名称,如果你不确定自己的主机名称,可以用这种方式确定(http://www.whatismyip.com/ip-address-host-name-lookup/)。
2. 一旦你知道了自己的主机名,打开浏览器并定向到ftp://[hostname],比如 ftp://xx-xx-xx-xxx.res.bhn.net。
3. 你也可以在谷歌或者其它搜索引擎上进行搜索,输入”xx-xx-xx-xxx.res.bhn.net”。
你可以要求谷歌或其它引擎将这些搜索结果移除。
谷歌的移除工具在这里--https://www.google.com/webmasters/tools/removals。雅虎使用必应的搜索结果,必应的移除工具在这里--http://www.bing.com/webmaster/help/bing-content-removal-tool-cb6c294d。你需要提交搜索列表的确切URL。可以尝试自动高优先级排序,但你还是需要将每个URL单独列出来。
比如向官方请求移除以下所有URL:
ftp://xx-xx-xx-xxx.res.bhn.net/folder/file1
ftp://xx-xx-xx-xxx.res.bhn.net/folder2/file2
记住,从搜索引擎上移除被检索的文件并不能完全解决这个问题。你还需要确保自己使用云服务的设备配置正确,或者确认你的路由器配置正确。
我怎么确认自己的路由器配置?
如果你在网上发现了自己的文件,但并没有使用任何个人云设备,那么很有可能是你的备份硬盘和启动了FTP功能的路由器直接相连了。你需要和ISP联系寻求帮助。
如果你使用的路由器不是ISP提供的,就需要确认远程管理功能的配置情况是正常的,并且FTP访问功能彻底关闭。路由器说明书会解释这些问题,生产厂家的客服部门也可以帮助你。
结束语
实时访问是每个人都想要的功能。关键是要注意进行实时访问的代价,更容易的访问往往意味着更少的安全。
来源:安全牛