文/盛威 Pingwest

百度云空間大、速度快、能離線下載，為什么你還要這么麻煩地用 Dropbox 呢？

一年前在知乎上看到這個問題時，我看著回答里的“百度云派”和“Dropbox 派”互撕笑而不語。因為我同時使用了這兩個云盤的服務，以及 iCloud 和 OneDrive。

我是一個云同步服務的重度用戶，我在 Dropbox、iCloud 和 OneDrive 的免費賬號上存儲了文稿、通訊錄等重要但不怎么占空間的資料，在百度云上存的是手機同步的照片和視頻等這些相對不那么重要的大文件。

原因是百度云雖然能夠提供 2TB 的超大儲存空間，但我本能地對中國互聯網公司提供的服務產生了警惕，畢竟不管是 155 云盤還是 UC 網盤、新浪微盤都在今年上半年一一關閉。

而國外網盤雖然需要 VPN、速度沒那么快、儲存空間還小，但至少他們在用戶信息安全上做得更好，也不會動不動就關閉。

這種精明的算計讓我覺得自己像是個聰明的利己主義者——吃著社會主義的大鍋飯，還薅著資本主義的羊毛。

重要的是，這一切都是免費的。

但這種僥幸的心態并沒有為我帶來我所期待的信息安全，因為上周我發現我從 2014 年開始同步到百度云盤上的照片和其他資料全部被清空了，我甚至因為相信百度云而沒有將這些照片同步到任何別的地方。

可怕的是，不止我一個人遭遇了這樣的情況。微博用戶@梁小豪同學 在 8 月初發布的一條微博說自己的百度云之前的大量文件全部被刪除，同時云盤里還被塞滿了小影片。此后《北京日報》的一篇報道也顯示多名用戶的百度云盤資料被情況，并被塞滿了淫穢視頻。

百度云給出的答復是用戶自己的賬號被盜，并“提醒”用戶要保管好自己的賬號密碼，綁定手機號云云。

看完相關的報道我這才知道原來我是被卷入了一個百度云賬號買賣黑色產業鏈的一環：有專門的團隊盜取百度云賬號，并向這些賬號中上傳淫穢視頻，然后高價賣給買家。

看來我的百度云賬號也有可能被塞滿了黃片，不過因為發現得晚我沒能有幸成為被選中的老司機。

不過我更關心為何大量百度云用戶的賬號密碼會被集中盜走，以及我們還能不能放心地使用百度云的服務了。

在瀏覽了大量技術論壇后，我才發現批量盜走百度云賬號并不是什么難事。在某些黑客論壇上，存儲用戶信息的數據庫被明碼標價，任人竊取。

首先登錄百度云賬號需要郵箱地址或者手機號碼與密碼的組合，那么黑客怎么獲取到這些信息呢？答案就是“撞庫”，也就是用已經泄露的網站數據庫中找到對應的賬號密碼信息來登錄其他網站。例如網易郵箱的賬號數據庫曾被泄露，這個數據庫里據稱存有上億用戶的賬號信息。數據庫一旦被黑客團隊獲取就很難追回或者銷毀，而網易郵箱也只能告訴用戶修改密碼了。

可是僅僅修改了網易郵箱的密碼又有多大幫助呢？要知道很多人會在不同的網站和服務中使用相同的賬號密碼組合，例如他們會用網易郵箱的賬號和密碼登錄百度云賬號。所以黑客只需要從被泄露的數據庫中獲取賬號密碼組合就能盜取大量百度云賬號了。

當然這種數據庫并不是每個人都可以隨便獲取到，因為它們只在特定的黑色產業鏈中流傳，并且售價高昂。不過有一種叫做“社工庫”的東西能讓你免費查到已經過期了的賬號密碼，以便讓你發現自己的密碼有沒有被泄露。

我嘗試在一個社工庫中輸入自己已經廢棄多年的 QQ 郵箱和網易郵箱，發現我曾經在幾個網站上注冊的賬號密碼居然被悉數公開。不過放心，大多數容易找到的社工庫都會對密碼的關鍵信息進行隱藏處理。

如果是這樣的話，黑客是不是也能很輕易地登錄到 Dropbox 和 OneDrive 等用戶的賬號里？但為什么這些國外網盤卻比百度云更安全呢？這其中最大的一個區別就是 Dropbox 默認開啟了兩步驗證，而百度則只需要賬號密碼就可以登錄。

兩步驗證指的是在登錄賬號時通過移動設備（大多是手機號）進行認證，例如發送驗證碼和生成臨時身份驗證碼。雖然百度也鼓勵用戶綁定手機號，但當你登錄百度云賬號時是不需要進行兩步驗證的。

另外一個區別是 Dropbox 等國外網盤都在全站啟用了 https 加密連接，這種連接方式在用戶的瀏覽器和服務器之間形成了一個加密通道，讓其他人無法截取傳輸的信息。所以相對于普通的 http 傳輸，https 連接方式更加安全。如果沒記錯的話，百度云直到最近安全事故頻發才啟用了 https 加密方式。

百度云網盤曾長期采用http連接方式

所以你看，百度云給了你 2TB 的儲存空間，但你的資料在百度云看來根本就不值錢。似乎它也理所應當地認為，自己的用戶就應該被這樣粗暴地對待。要知道大部分用戶只會使用一小部分儲存空間，2TB 空間只不過是用來推廣和宣傳的一個噱頭，代價是你的信息隨時會被泄漏，你的數據隨時會被清空。