我在百度网盘上看到上万条车主个人信息，企

大家好

我光着屁股

昨天，差评君的微博收到这样一条私信。。。

这里强调一下，其实后台留言我们都看的

（咦，他为什么要说又？）

这位小哥哥上来就说要怼百度，难道百度又出事了？

差评君点开了链接，里面是这样一篇文章。

来自的。。。

百度网盘之前出过一次网盘信息泄露隐私的事情，不过已经封堵漏洞了，但这泄密又是怎么回事？

百度网盘有一个“分享”功能，一旦分享，就会生成一个公链

这个公链就变成了找到文件的钥匙，所有点这个生成的公链的人都可以看到里面的内容。

如果你想安全点的话，可以生成私链，会生成一个密码，想访问文件的人不仅要知道链接，还要知道提取码。

不过，因为一些用户不经意的误操作，自己手滑偶然会把他们生活相关的东西“分享”了，在他们的个人主页上可以直接看到，但百度没有提供适当的提醒！

比如差评君发现某人的主页是这样的。。。

这明显就是分享了自己的手机相册，但主人似乎并不知情。

差评君可以看遍他的生活和他去过的每个角落

那为什么会有人有这种情况发生呢？

这不是百度网盘的漏洞（强调一下），但是产品逻辑似乎有些问题。

我们想象一个场景，差评君像上面这个人一样出门毕业旅行了，拍了很多照片存在网盘上，某一天差评君的妈妈想看照片，叫差评君分享过去，如果差评君出于方便的考虑（愿意麻烦生成带密码链接的人似乎不多），多半是生成个链接丢给妈妈让妈妈点进去看~

但，这却无意间让其他人都可以看到！

只要跑去你的个人主页，就有可能找到你比较私密的东西。。。

那可能有差友会问了，个人主页又不是随便能找的，不会有大碍吧？

其实并没有，百度云的分享链接里面，有一串编号。

被红圈圈住的编号

这个编号是有规则的，而且规则相当弱鸡——从“1”开始，逐个递增！

不知道这个1号用户是不是他们家程序员。。。

这个编号相当海量，差评君分别试了1,11,,1,11这几个编号的用户，发现有的是正常用户，有些看起来是空账户，不过从差评君后续的小规模尝试里发现，这样递增数字至少有一半是正常用户。

疑似空账户的账户

只要写个自动的爬虫小脚本，就可以让电脑自己去寻找这些用户，差评君就尝试爬了一下~

爬虫刚上线5分钟，就被百度踢了，因为要不停改动编号，访问过于频繁。。

同时差评君发现这些用户看起来都不活跃，没什么用。。。

于是差评君找了个很取巧的逻辑，钻了百度产品逻辑空子。