一、曬照片

小白：大東，你看我新發(fā)的票圈了么？

大東：你在理發(fā)店那張？

(資料圖)

小白：新發(fā)型怎么樣？

大東：新發(fā)型是不錯，但我還知道你是在xx路的理發(fā)店。

小白：這都被你看出來了。

大東：照片里隱藏了不少信息，只要有心就能挖出來。

小白：哈哈，那大東東有心了～

大東：別笑，萬一照片被“有心”害你的人利用，可就麻煩了。

小白：竟還有這種事？！

大東：我給你講個故事。

二、大話事件

大東：話說假期的某一天，無聊的老王在聊天群里偶然看見一張照片，發(fā)照片的人正在吐槽自己在加班。老王閑著也是閑著，于是開始研究起了這張照片。

聊天截圖（圖片來自網絡）

小白：確實挺閑的。

大東：首先，就只有這一張圖，清晰度被聊天軟件壓縮過，但是放大之后勉強可以看清一些東西：面前能辨認出幾個字，其中最后兩個為“雙語”，結合五顏六色的字體，能夠推測出，這就是一個xxx雙語幼兒園。

圖片放大效果（圖片來自網絡）

小白：也是挺費眼睛的活。

大東：于是老王上地圖搜索了一下這個名字，由于他人在深圳，并沒有搜出這個地方。老王又查看了發(fā)圖片者的個人信息，發(fā)現他人在北京順義，于是又加了地點關鍵詞繼續(xù)搜索，卻還是沒有搜到。

小白：這么快就受阻了……

大東：老王冷靜分析，發(fā)圖者是他朋友的大學同學，兩人都是在武漢上的大學，所以按常理，他很大概率也是在武漢上班。于是，老王把地點關鍵詞換成了“武漢”兩個字，馬上就搜到了。

小白：推理滿分！

大東：找到了地點后，老王首先在地圖上查看一下周圍環(huán)境。發(fā)現地圖上扇形的公園和幼兒園的位置十分對應，可以看到附近的樓房位置也和地圖上的幾乎一樣，又一次確認了地點的正確性。于是他點開了幼兒園的位置，進入到了實景模式。

地圖對比照片（圖片來自網絡）

小白：十分嚴謹??！

大東：在實景地圖上，老王找到了拍攝所在的寫字樓。這棟樓屬于軟件園中多公司共用的一棟樓，分別租的不同的樓層用于辦公。從拍攝者的角度初步判斷，所在位置應該屬于8層以上的高層。再通過一些照片的細節(jié)判斷，位置應該是在右邊第一列。

確定大致范圍（圖片來自網絡）

小白：觀察仔細啊！

大東：目前從這張照片所能獲取的信息就這么多了?，F在知道了這棟樓的號碼，知道了這個軟件園的名字。接下來老王到“天眼查”上，通過地址搜索出了不少公司。

小白：又有新問題了？

大東：沒錯，這里又引入了新的問題——所在位置具體是幾號。正當老王一籌莫展的時候，偶然間看到了大樓的出租信息。于是他轉而又聯系上了租房中介，希望能獲取更多信息。

小白：真是機智啊！

大東：根據中介提供的信息，老王最后整理篩出了兩家公司，分別是12層3號和15層3號，一家是房屋建筑業(yè)，還有一家是軟件信息技術服務業(yè)。而發(fā)圖者的大學專業(yè)為軟件工程，那么已經百分之99確定了那個這個軟件信息技術公司了。

小白：太厲害了！

大東：接著，老王找到了公司的官網，決定對其登陸注冊頁面進行一番分析。利用端口掃描工具，老王在掃描結果中看到了一個奇怪的端口——8099。訪問打開后是一個登錄系統(tǒng)，看上去像是他們員工的登錄系統(tǒng)。

員工系統(tǒng)（圖片來自網絡）

小白：誒，有蹊蹺！

大東：老王使用抓包工具分析，本想查看請求的內容，但發(fā)現密碼是加了密的。轉念一項，干脆試試弱口令。于是他對賬號admin開始嘗試簡單密碼——密碼111111，123456等等。結果就在試到admin123時，竟然登陸成功了。

小白：不是吧阿sir，就進去了？！

大東：不僅如此，在一番利用web工具分析、反序列化等操作，老王竟然成功獲取了網站服務器的shell。

小白：直接“攻陷”了！

大東：冷靜分析下，老王對網站提交了該漏洞，又聯系了還毫不知情的發(fā)圖者，跟他簡單說下這個情況，讓他跟他們公司趕緊將問題給處理了，順便還給他普及了下網絡安全知識。

小白：老王真是令人尊敬的白帽！

三、如何預防

大東：整件事都是從一張普通的隨拍開始的，無意一張照片，卻可以讓一個完全陌生的人找到他所在的公司，甚至通過公司官網的漏洞可以獲取更重要的資料，對公司造成損失。

小白：那咱在生活中該怎么注意這些問題呢？

大東：首先要提高我們的網絡安全意識，不要輕易公開自己的私人照片。如果要發(fā)圖，則可以重點以下幾點：

1）使用圖片編輯器編輯圖像時，只在Office文檔中使用已經經過編輯的圖片。

2）確保涂抹工具的不透明度調整到100%。

3）如果要使用模糊或像素化工具，請仔細檢查最終效果，不要露出遮擋字母的形狀。

4）在上傳之前，確保圖片中沒有露出其他隱私內容，比如電子郵件地址、社交網絡網址、獨特的紋身、姓名標簽或其他類似的潛在標識。

5）刪除圖片元數據。如果出于某種原因你想保留這些信息，那就額外復制一個專門用于分享的文件副本。在上傳帶有敏感信息的照片之前一定要三思。

小白：嗯！我一定會注意的！

參考文獻：

1. 一張隨拍引起的安全思考：https://mp.weixin.qq.com/s/m1eahStrcKEN7Dkm6WT0IA

2. 隱藏照片敏感信息，你真的會了嗎？https://www.kaspersky.com.cn/blog/how-to-leak-image-info/11395/

3. 中科院曾毅：人臉隱私數據“一次泄露，終身風險”sohu.com/a/444536053_237556

4. 上傳網盤的信息也會泄露？個人隱私照片被多人傳看，太過分了 https://www.sohu.com/a/442604565_350653

5. 隱私信息頻遭泄露該如何預防http://www.xinhuanet.com/legal/2020-08/08/c_1126340967.htm

來源：中國科學院信息工程研究所