保存 3500 万 Google Profile 的本地数据库

最近这几个月里，倒霉的索尼（Sony）被黑了两次，首先是 PSN 大量用户资料泄漏直接导致 PSN 停摆数周，然后索尼爱立信的在线商店又被黑掉，索尼高层的腰都快直不起来了。这样严重的用户资料失窃，也引发了大众对于云平台安全性的担忧，事实证明，这样的担忧并不是无的放矢。

在过去的几个月里，阿姆斯特丹大学的学生 Matthijs R. Koot，为了自己的论文，对 Google 的安全防护进行了一些试探，结果可能会让你大吃一惊。

Matthijs 在一个月的时间里，用同一个连接，下载了全部 35513445 个 Google profile，并将他们保存在自己的本地数据库里。而在这一个月里，Google 对于如此频繁、连续、有目的性的数据请求，没有做出任何反应。没有速度限制，没有屏蔽，不需要验证，就这样交出了自己的 3500 万用户资料，包括名字、Gmail 地址、Buzz、Twitter、Checkins，甚至还有 Picasa 的相册链接。

事实上，在 08 年底，Google 就已经泄漏了 Google Profile 的全部链接，它的获取是如此容易，让我怀疑在过去的两年半里，已经有不知道多少别有用心的 IT 从业人员（不需要是黑客，因为根本没有难度可言）拿到了类似的用户资料数据库。

感兴趣的话，可以先访问这里：profiles-sitemap.xml，会看到这样的东西：

然后随便打开其中任何一个 txt 文件，就可以拿到大量 Google 用户资料的链接，就像这样：

事实上，Matthijs 就是这么做的，具体的技术细节我们不做讨论，你只要知道一点，把这些东西下载到本地，进行简单处理并存入数据库，是一个很容易的工作。也许这些东西对于个人来说用处不大，可它们的价值，在这个时代是显而易见的。

从好的方面来讲，很多商家可以利用 Profile 里面的 Location 等信息，来进行营销，当然，真实的成百上千万名字以及 Email 地址也是宝贵的财富；

而坏的方面呢？拥有千万级别 Gmail 地址以及名字的垃圾邮件服务商？依靠丰富个人资料行骗的骗子？或者说，仅仅是 Email 营销服务，对于苦于收集用户 Email 地址的团购网站来说，这简直是难以拒绝的诱惑；

我们总结一下，Google 这样首屈一指的云服务提供商，经验应该说非常丰富了，尚且对自己的用户资料如此马虎。一堆链接，几个简单的脚本，单线下载一个月，你就可以拥有保存着 3500 万 Google 用户资料的本地数据库（这甚至都不违反 Google 的使用协议，因为它们是允许第三方索引用户资料的）。

从这个事情来看，云平台的安全性确实有着极大的隐患，而对于普通用户而言，我想提醒一句，尽量少曝露自己的私人信息，不要把全部资料都交给互联网服务商，即便对方是 Google。

不然的话，也许在不远的将来，就有说着你家乡话的电话打来：

xxx 啊，我是 xxx（Buzz 或者 Twitter 曝露的） 的朋友 xxx，我们那天在 xxx 餐馆（Checkins 曝露的）见过一面，还记得不？

对对，你那天还买了个 xxx （Tweets 曝露的），还叫我们去你家里（Checkins 曝露的）坐坐；

是这样的，xxx 现在 xxx 公司（Tweets 曝露的）很忙，有点事，托我找你帮个忙啊…..

Source: Matthijs R. Koot 1,2

© 宁剑 for 爱范儿: 拇指资讯小众讨论, 2011. | Permalink | 45 comments | Add to del.icio.us
Post tags: Cloud, Google, Safety