9月14日,有多位网友发布视频称,某云盘出现“灾难级Bug”。用户在相册新建文件夹并在分类选择图片、视频时,会加载出他人文件。视频中,加载出的图片与视频不仅可以缩略预览,还可以打开。
客服人员表示,事发后平台第一时间进行了紧急核查和处理,目前官方暂未公布该bug出现的原因,仅表示问题已修复。
一、网民的一些反应:
二、当前主流云盘普遍存在的问题
大多数网络云盘,每次登录要求备份手机中的通讯录、照片、视频等敏感数据,存在严重的个人隐私数据泄露风险,主要是自动备份存在严重隐患.
-
1. 默认开启的自动备份:许多网络云盘服务在初次使用时或更新后,会默认开启自动备份功能,包括照片、文档、视频等敏感数据。用户如果未仔细阅读隐私政策或设置选项,很容易在不知情的情况下将数据上传到云端,增加了数据泄露的风险。
-
2. 缺乏明确的用户提示:有些云盘服务在自动备份时缺乏明确的用户提示,用户可能无法及时了解到哪些数据正在被上传,也无法对备份的数据进行有效管理。
三、普通用户应对策略
-
1. 关闭自动备份功能:用户在使用网络云盘时,应仔细检查设置选项,关闭不必要的自动备份功能。如果需要使用备份功能,建议手动选择需要备份的数据,并定期进行清理和整理。
-
2. 增强账户安全:用户应设置强密码,并开启双重认证等安全功能。同时,定期更换密码和检查账户安全设置,确保账户不被未经授权的访问。
-
3. 关注隐私政策:在使用网络云盘之前,用户应仔细阅读隐私政策和服务条款,了解服务商如何收集、使用和保护用户数据。如果发现隐私政策不合理或存在漏洞,建议谨慎使用或选择其他服务。
-
4. 选择可靠的服务商:用户在选择网络云盘服务时,应选择那些技术实力强、口碑好、隐私保护政策完善的服务商。同时,关注服务商的安全记录和事件处理情况,以便及时了解和处理潜在的安全风险。
根据目前BUG情况进行分析,可能的安全漏洞原因如下,个人意见,仅供参考。
数据隔离问题
某云盘在存储和访问用户数据时,可能存在数据隔离机制的漏洞。可能是由于系统设计或实现上的疏忽,导致用户的文件夹或文件权限管理不当,使得不同用户之间的数据产生了交叉访问的可能。
缓存机制问题
在相册新建文件夹并分类选择图片、视频时,系统可能使用了缓存机制来加速数据加载。但如果缓存机制设计不当,可能会错误地将其他用户的数据缓存到当前用户的会话中,导致用户能看到并访问到他人的文件。
软件更新或维护不当
某云盘在进行软件更新或系统维护时,可能因操作不当或代码错误引入了新的bug。这种情况下,新引入的bug可能导致数据访问控制失效,使得用户能够访问到不应该访问的数据。
权限管理漏洞
系统在权限管理方面可能存在漏洞,未能正确验证用户的访问权限。这可能是由于权限验证机制设计不合理或实现有误,导致用户能够绕过权限验证,访问到未授权的数据。
原文始发于微信公众号(CISSP):某云盘被爆隐私照片泄露灾难级BUG!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论