“云”真的安全吗？

现在几乎所有的互联网门户都推出了自家的云产品，容量更是动辄几百 TB，目的是吸引更多的用户。用户把自己的资料上传上去，是真的安全吗？

我以前用百度云做过一次实验，百度云刚上线的时候，以免费无限外链共享而出名，慢慢的积累了庞大的用户群。由于当时没有写这篇文章的打算，所以我重新截了一部分图（可能会跟文章内容有些差异）。我收集了几张不涉及隐私照片和一些网上下载的文档，而且我用 SpyPig 做了一张追踪图片（间谍猪：检测电子邮件有没有被阅读的工具），放到一个名字叫“个人年度考核”的 Word 文档中，然后把他们打包好，上传到百度云。

这个压缩包只在百度云放了三天左右，我就收到了 SpyPig 的邮件，那就说明有人打开过那个 Word 文档！每一位社会工程学工程师都十分善于收集各种数据，类似“年度考核”这些会有个人信息的文档他们定然不会放过，这也表明这个百度账号已经被泄露了。

这的确让我们感到背后发凉，在我们完全不知情的情况下，我们的个人资料被人窥视了一遍，当然这可能是个别情况，强壮的密码可以使大部分的碰撞库破解无果。国内黑色产业链十分庞大，大数据不断流入地下市场进行买卖，而我们用户在隐私泄露面前显得十分被动。从一个人出生开始，你的资料就会流入这条黑色河流当中，医院有你的出生信息，公安有你的户口信息，等你上学之后教育系统又会有你学籍档案，任何一个环节出了问题你的隐私就可能会被泄露。以前可能有人会说：你一旦接入互联网就没隐私可言。现在你一旦出生就避免不了隐私泄露的危险。

大家可能会发现，这次的主题不是“云”吗，怎么又说到地下黑色产业链呢？云账号的密码泄露的确是个别事件，但这不仅是个人安全的问题。提供云服务的企业有没有足够的实力保障信息安全和企业的信誉更加重要。我再做一次实验，也是用之前做好的那个压缩包，我已经把它从网盘上删除有十几天了，现在我再次尝试上传到别的账号上去，两个账号测试的结果居然全部都是极速秒传。

这意味着什么我想大家也明白了，云服务供应商在收集我们的个人信息和资料。我并不是针对百度云，而是国内的云服务都存在这个问题，极速秒传可以给资源分享带来许多便利，但也意味着用户的信息将被收集。

大数据时代最大的赢家是云服务提供商，黑色产业也在使用云服务进行数据交易，这是我收集到的部分数据，一些网上流传的很广的数据如 CSDN 等，上传的时候都是极速秒传，那就说明服务器上都有这些数据。

我希望云服务厂商可以反思下，是否要采取这种手段收集用户信息。至于用户自己，也是要提高安全意识，数据永远是脱机最为安全，不得不上传到网络的时候，可以压缩加密，或者使用 PGP 这些顶级的保护。