西安郵電大學(xué)(簡稱西郵)密碼技術(shù)實(shí)驗(yàn)室近日發(fā)布消息：百度云盤、華為網(wǎng)盤、360云盤等國內(nèi)多款云盤存在安全隱患，建議相關(guān)研究機(jī)構(gòu)和企業(yè)應(yīng)高度重視此類信息安全問題，積極尋求解決方案。

　　西郵研究小組負(fù)責(zé)人鄭東教授對(duì)科技日?qǐng)?bào)記者說，用戶在使用百度云盤進(jìn)行數(shù)據(jù)上傳和下載過程中，百度云盤客戶端和服務(wù)器之間的通信是以HTTP協(xié)議進(jìn)行的，而HTTP協(xié)議作為傳統(tǒng)的網(wǎng)絡(luò)傳輸協(xié)議，傳輸?shù)臄?shù)據(jù)是沒有經(jīng)過加密的明文，因此攻擊者(黑客)通過對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行簡單的網(wǎng)絡(luò)抓包(即對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包直接進(jìn)行截取)就能夠竊取明文數(shù)據(jù)。研究小組僅使用普通的網(wǎng)絡(luò)抓包軟件Fiddler與Wireshark進(jìn)行網(wǎng)絡(luò)抓包就驗(yàn)證了上述結(jié)果。

　　鄭東指出，比竊取消息更為嚴(yán)重的是，黑客還能夠發(fā)起“重放攻擊”。即利用竊取到的用戶歷史訪問數(shù)據(jù)，適當(dāng)修改文件名和路徑，就可以對(duì)用戶的所有數(shù)據(jù)進(jìn)行讀取和刪除操作。如用戶曾經(jīng)向服務(wù)器發(fā)出過請(qǐng)求“刪除文件A”，黑客竊取到該請(qǐng)求并將其修改為“刪除文件B”后發(fā)送給服務(wù)器，可以成功刪除文件B。通過對(duì)其他同類產(chǎn)品進(jìn)行安全性分析，結(jié)果顯示，其他國內(nèi)主流云儲(chǔ)存產(chǎn)品華為網(wǎng)盤、360云盤、天翼云、115網(wǎng)盤和新浪微盤都沒有對(duì)用戶的數(shù)據(jù)進(jìn)行加密保護(hù)。

　　該研究小組提醒用戶在使用云盤時(shí)需格外小心謹(jǐn)慎，盡量不要用云盤存儲(chǔ)私密信息，以防止信息泄露，造成不可挽回的損失，同時(shí)建議云盤服務(wù)提供商從技術(shù)上增強(qiáng)對(duì)用戶數(shù)據(jù)的保密。