在线搜索引擎帮助解除隐私保护

坐在他的笔记本电脑上，Chris O＆rsquo; Ferrell在百度搜索引擎中输入几个字，然后弹出一个链接，显示一个军事文件，列出可疑的塔利班和基地组织成员，出生日期，出生地，护照号码和国家身份证号码。

另一个搜索会生成一个名称和信用卡号的电子表格。

＆ldquo;所有搜索引擎都会得到你这个，＆rdquo; O＆rsquo; Ferrell说，指向他在互联网上发现的战利品文件:医疗记录，银行帐号，学生＆rsquo;等级，以及804艘美国海军舰艇，潜艇和驱逐舰的对接位置。

使用世界上Zui强大的互联网搜索引擎，这一切都是合法的。

网络安全专家表示，越来越多的私人或推定秘密文件在全球各地的计算机中处于脱机状态，使政府，个人和公司容易受到安全漏洞的攻击。在一些网站和各种消息组中，技术爱好者甚至提供了如何使用相对简单的搜索来查找敏感文档的说明。虽然它在技术上并不侵入，但这种做法有时被称为“百度 hacking”。

＆ldquo;那里有一个完整的亚文化，正在做这件事，＆rdquo; O＆rsquo; Ferrell，Herndon安全咨询公司Netsec Inc.的长期黑客专家和首席技术官。

在他们已经存在的十年中，像百度这样的搜索引擎变得更加强大。与此同时，随着越来越多的企业和政府机构依靠互联网传输和共享信息，网络已成为更丰富的信息来源。所有这些都存储在称为服务器的计算机上，每台计算机都连接到Internet。

出于各种原因＆mdash;服务器配置不当，安全系统漏洞，人为错误＆mdash;事实上，公众可以查看各种不打算被公众查看的材料。一旦百度或其他搜索引擎找到它，几乎不可能恢复保密。

这引起了更多来自“百度dorks”的活动，“rdquo;安全工程师说，谁在互联网上搜索保密商品。

＆ldquo;就受此影响的网站数量而言，它是成千上万的“rdquo; 32岁的约翰尼·朗（Johnny Long）是计算机科学公司（Computer Sciences Corp.）的研究员和开发人员，也是资深黑客，他维护着一个网站，他说这个网站让他与黑客社区保持联系。他说，他去年夏天在拉斯维加斯举行的Def Con黑客大会上谈到了百度，这导致人们对漏洞有了更多的认识。 由于其有效性，百度因这些搜索而被挑选出来。

＆ldquo;百度的好处是它们为您提供了更多信息，并为您提供了更多搜索工具，“rdquo; O＆rsquo; Ferrell说。

它功能强大的电脑“爬行”至少每隔几周在互联网上的每个网页上进行，这意味着浏览地球上的每个公共服务器，抓取每个页面以及每个页面附带的每个链接。然后使用复杂的数学系统对这些结果进行编目。

安全专家表示，让百度无法访问Web服务器中信息的Zui基本方法是以搜索引擎爬虫的说明书的形式设置数字网守。该文件名为robots.txt，定义了对抓取工具开放的内容以及不属于该内容的内容。但是如果没有正确配置robots.txt文件，或者无意中将其关闭，则会打开一个洞，其中百度进入。并且因为百度的爬虫是合法的，所以没有警报会响起。

＆ldquo;Zui可怕的是，这可能发生在政府身上，他们可能永远不会知道它正在发生，＆rdquo;龙说。 ＆ldquo;如果有一个装甲的缝隙，[黑客]会找到它。＆rdquo;

百度和其他搜索引擎官员表示他们对这个问题很敏感，但是无法控制它。

百度的首席技术官克雷格·西尔弗斯坦说，该公司拥有超过10,000个计算机系统的庞大系统，不断收集超过30亿个网站的新信息，公司不能也不想要警察或审查网络上的内容。

＆ldquo;我认为网站管理员必须小心，“rdquo;他说。 ＆ldquo;基本的问题是有30亿[网站]，那里有很多信息。＆rdquo;它在自己的网站上提供了一个工具，“网站管理员指南”，关于如何从百度的系统中删除网站，包括百度的大量缓存页面，这些网页可能无法再在线提供，Silverstein说。

对于黑客专家来说，百度-hacking有一种民粹主义的诱惑:任何一个有互联网访问权限的人如果知道正确的搜索方式就可以做到。

＆ldquo;它是Zui简单的点击式黑客攻击＆mdash;它有趣，它是新的，古怪的，但你可以取得强大的成果，“rdquo; INS Inc.的安全顾问Edward Skoudis说，它帮助政府和企业客户监控网络上可见的内容。 ＆ldquo;这种使用搜索引擎进行黑客攻击的概念已经存在了一段时间，但它在过去的几个月中被取消了，并且“rdquo;他说，可能是因为在地下黑客社区中出现了新的热情。 搜索字符串包括＆quot; xls，＆rdquo;或者“cc，＆rdquo;或者是“ssn”。通常会显示与客户列表关联的电子表格，信用卡号和社会保险号。添加“总计”字样在搜索中，通常会提取总计美元数字的金融电子表格。拥有足够时间和经验识别敏感内容的黑客可以找到大量可信的私人信息。

＆ldquo;在[客户的]银行网站上，我找到了包含10,000张社会保障和信用卡号码的Excel电子表格，＆rdquo;斯科迪斯说，他成功寻宝之一。

他说，该银行的Web服务器已经正确配置，以保持这些文件的私密性，但有人错误地将信息放在了栅栏的错误一侧。 ＆ldquo;百度找到了敞开的门并且爬了进去。＆rdquo;

斯科迪斯面对“红脸高管”和“红脸高管”。他说，根据他的发现，并被告知:＆ldquo;只是解决它，该死的。＆rdquo;

百度和其他搜索引擎运营商无法衡量使用其网站访问私人文档的频率，或者出于安全原因删除了多少私人文档。

＆ldquo;挑战在于，随着搜索引擎工具的发展，人们对他们在公共Web服务器上放置的东西变得更加松懈，“rdquo; Terra Lycos的19个搜索引擎副总裁兼总经理Tom Wilde说。 ＆ldquo;无法监控＆rdquo;每天发生数以千万计的搜索，王尔德说，并补充说，他从未收到有关他网站上的安全漏洞的通知。

政府官员表示他们熟悉百度黑客行为，并与政府机构和企业合作，以保护网络服务器上的敏感文件。

＆ldquo;这是一个我们关注和跟踪的问题，＆rdquo;国土安全部网络安全部门主任阿米特约兰说。根据法律规定，每个机构都对其自身的安全负责，尽管向国土安全部报告了黑客攻击或安全漏洞，但网络安全部门并未监控网络内容，他说。

当有人挖掘机密文件时，不清楚谁有过错。

＆ldquo;我不知道什么法律＆rsquo; s仅因为搜索而被侵犯＆rdquo;美国联邦调查局发言人保罗布雷松说，在一个公开的搜索引擎上，该局尚未对使用搜索引擎找到安全文件的个人采取行动。 ＆ldquo;如果他们将它用于某些险恶的目的，那就是另一个问题。＆rdquo;

私人信息的可用性导致身份盗窃的发生率上升，过去四年一直是联邦贸易委员会的头号消费者问题。去年，联邦贸易委员会收到了近215,000起关于身份盗窃的投诉，比2002年的约152,000起。

自2001年以来，联邦贸易委员会已与Eli Lilly＆amp;公司，微软公司和服装制造商Guess Inc.没有采取“合理的”和“合理的”。该委员会消费者保护局助理主任杰西卡里奇说，保证医疗或财务信息安全的措施。让客户信息驻留在不安全的服务器上可以使企业承担这种责任。

＆ldquo;由于可通过网络访问的数据库存在独特的漏洞，“ Rich说，并补充说FTC预计将来会带来更多与安全相关的案件。

一旦找到机密页面，就不容易将它们打包回来。

即使在从Web服务器上取下文档之后，就像MTV从其网站上删除了一个超级碗前的新闻稿，承诺“令人震惊的时刻”。在中场休息时，文档通常会被缓存或存储在其他搜索引擎中。计算机，所以他们仍然可以访问。

＆ldquo;一旦它被放到网上，很难将数字马放回电子仓库，“rdquo;电子隐私信息中心执行董事Marc Rotenberg说。 ＆ldquo;它几乎不可能得到它。＆rdquo;

来源:华盛顿邮报

感谢蒙特利尔网页设计的提示。

发布者Serge。