隐私泄露

Everything漏洞描述 [ Everything ]一款搜索文件非常快的工具，其速度之快令人震惊！它还有一个可以通过 HTTP 或 FTP 分享搜索结果 的功能。它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索，并支持文件下载。重点来了， 如果是公网IP的用户，又开启了HTTP访问 ，会让谷歌收录你索引的文件，也就是你硬盘里的文件全部公开在网上了。 漏洞复现 利用google hack在google上搜索 allintitle:Everything C:\Windows 很夸张，检索到的庞大的信息量 基本可以点入，但是很多响应超时。选取几个成功的例子展示 （无意间翻到了韩国友人的漫画收藏地） 开启了http服务的话，还是公网，就会暴露文件到公网。如果不小心开启了ftp服务，会造成任意文件下载泄露的严重后果。 想想看，你自己硬盘上的所有东西，全部公布在公网，不管是什么隐私，都会被看到，非常的危险。 如果需要开启http,ftp服务，记得在Everything http服务中设置用户名和密码 来源： https://www.cnblogs.com/BOHB-yunying/p/11681914.html

据悉，这些泄露信息处于一个在线公开的亚马逊存储桶中，存在两个数据库中。其中，一个数据库包含 2100 万条记录，另一个数据库包含 1400 万条记录。它们位于一个目录中，该目录包含 2019 年 5 月创建的备份文件，主要用于马印航空和泰国狮航。 另一个备份文件的名称是巴迪航空，其母公司也是狮航。 敏感的个人信息泄露 根据 Under the Breach 爆料的信息，本次狮航的数据泄露包含非常详细的个人信息，有乘客 ID、预定 ID、乘客地址、电话号码、电子邮件地址、姓名、出生日期、电话号码、护照号码和护照到期日期。 研究者 Under the Breach Twitter 公布的信息，第一个数据库有 2100 万条乘客记录，信息非常详细，包含乘客 ID、预定 ID、乘客地址、电话号码和电子邮件地址。第二个数据库有 1400 万乘客记录，包括乘客姓名、出生日期、电话号码、护照号码和护照到期日期。 在公布这个两个数据库的样本时，Under the Breach 已经遮盖了乘客的个人详细信息。 8 月 12 日，有人在一个相对知名的数据交换社区提供这些信息，一段时间之后，这个亚马逊存储桶（bucket）得到了保护。 云存储中的两个数据库仍在流通，但可根据要求提供。 BleepingComputer 称“无法访问备份文件的内容，但实际表明高度敏感的个人信息已经泄露

近几年，互联网发生着翻天覆地的变化，尤其是我们一直习以为常的HTTP协议，在逐渐被HTTPS协议所取代，在浏览器、搜索引擎、CA机构、大型互联网企业的共同推动下，互联网迎来了“全网HTTPS加密新时代”企业站点目前已全面开启HTTPS模式, 就连个人博客、登陆 Apple App Store 的App和微信的小程序等，也已经启用了全站HTTPS。HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 HTTP的高安全隐患 HTTP的传输特点是明文传输，任何经过HTTP协议传输的数据都是未加密，谁都能看到的传输数据。HTTP明文传输给页面劫持、页面篡改、数据泄露、mu马注入等黒客行为提供了便利，所以用户隐私泄露的风险非常高。 常见的几种危害比较大的中间内容劫持形式如下： 1、获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。 2、获取用户账号cookie，盗取账号有用信息。 3、在用户目的网站返回的内容里添加第三方内容，比如广告、钓鱼链接、植入mu马等。 HTTPS加密了什么？ HTTPS（HypertextTransfer Protocol Secure）安全超文本传输协议，它是由Netscape开发并内置于其浏览器中，用于对数据进行加解密操作，并返回网络上传送回的结果。简单讲就是是HTTP的安全版，即HTTP下加入SSL层，在SSL层对请求数据进行加密