刚刚在“吾爱破解”网站中看到了说关于“速盘-speedpan”上传用户数据。之前也大家分享过这个百度网盘不限速的软件,在此给大家说声“对不起”,希望大家为了保护自己的隐私,最好不要用这个软件了。以下是这篇文章的原文内容,可以点击文末左下角“阅读原文”进行查看。
速盘是一个知名的百度网盘下载工具了,几乎是无人不知 ,但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据,以下是分析全过程。首先下载速盘工具(下载地址速盘官网:http://www.speedpan.com)并打开打开速盘下载工具,看到其告知需要登录才能下载:
于是登录了百度网盘账号,并使用了里面的分享并下载方式:
在这时打开了抓包软件,抓取奇数据包,在数据包中,发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包,而数据包中发送的内容却包括在速盘登录的账号的cookie数据:
而通过截图可以看到,在发送的cookie中,包含登录账号的BDUSS数据,这是百度账号验证的一个重要凭证,而这一凭证被速盘工具直接在后台上传到了速盘服务器中,凭借这个,速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号,甚至由于百度各个旗下产品公用统一的SSO(单点登录)进行登录,所以速盘服务器端甚至可能可以登录其他百度产品(如:百度贴吧,百度知道……)。
以上是分析全过程,希望使用速盘的朋友予以重视,修改百度账号密码,尽量不要使用像速盘这样的第三方工具,保证账号安全。
论坛有一个下载器 “Pandownload ” 分析没有发现上传或者其它可疑等操作,然后才分析 “速盘 - speedpan ” 的,没想到出来这些东西。
以下是部分留言评论:
小小苦逼少年:我去,幸好没用这个垃圾,之前看了一个微信帖子,就说这群垃圾收集用户信息,还以为是假的,原来果然是真的,这群狗日的真不是东西,这是盗了多少百度云VIP啊!我的天诶!!
1173522112:用这种东西就要有心理准备,反正百度的东西我只用网盘。弄好验证别被盗号就行了。
wgbbb:一直用着呢 这有点吓人啊!
泠色调:看了之后,果断删除,百度钱包里的1毛钱差点被盗了
最后,建议大家尽量还是少用第三方软件,保护自己的信息最重要。就像上个月12306出现60万个账号泄露,涉及410万名旅客信息,最后官方宣布是从第三方软件泄露出来的。
记住,尽量保护好自己的数据隐私,少用或者不用第三方软件。尽管有时候使用第三方会方便很多,但是也是有一定的风险性,自己一定要有这个风险意识。