一、曬照片

小白：大東，你看我新發(fā)的票圈了么？

大東：你在理發(fā)店那張？

(資料圖)

小白：新發(fā)型怎么樣？

大東：新發(fā)型是不錯(cuò)，但我還知道你是在xx路的理發(fā)店。

小白：這都被你看出來(lái)了。

大東：照片里隱藏了不少信息，只要有心就能挖出來(lái)。

小白：哈哈，那大東東有心了～

大東：別笑，萬(wàn)一照片被“有心”害你的人利用，可就麻煩了。

小白：竟還有這種事？！

大東：我給你講個(gè)故事。

二、大話事件

大東：話說(shuō)假期的某一天，無(wú)聊的老王在聊天群里偶然看見(jiàn)一張照片，發(fā)照片的人正在吐槽自己在加班。老王閑著也是閑著，于是開(kāi)始研究起了這張照片。

聊天截圖（圖片來(lái)自網(wǎng)絡(luò)）

小白：確實(shí)挺閑的。

大東：首先，就只有這一張圖，清晰度被聊天軟件壓縮過(guò)，但是放大之后勉強(qiáng)可以看清一些東西：面前能辨認(rèn)出幾個(gè)字，其中最后兩個(gè)為“雙語(yǔ)”，結(jié)合五顏六色的字體，能夠推測(cè)出，這就是一個(gè)xxx雙語(yǔ)幼兒園。

圖片放大效果（圖片來(lái)自網(wǎng)絡(luò)）

小白：也是挺費(fèi)眼睛的活。

大東：于是老王上地圖搜索了一下這個(gè)名字，由于他人在深圳，并沒(méi)有搜出這個(gè)地方。老王又查看了發(fā)圖片者的個(gè)人信息，發(fā)現(xiàn)他人在北京順義，于是又加了地點(diǎn)關(guān)鍵詞繼續(xù)搜索，卻還是沒(méi)有搜到。

小白：這么快就受阻了……

大東：老王冷靜分析，發(fā)圖者是他朋友的大學(xué)同學(xué)，兩人都是在武漢上的大學(xué)，所以按常理，他很大概率也是在武漢上班。于是，老王把地點(diǎn)關(guān)鍵詞換成了“武漢”兩個(gè)字，馬上就搜到了。

小白：推理滿分！

大東：找到了地點(diǎn)后，老王首先在地圖上查看一下周圍環(huán)境。發(fā)現(xiàn)地圖上扇形的公園和幼兒園的位置十分對(duì)應(yīng)，可以看到附近的樓房位置也和地圖上的幾乎一樣，又一次確認(rèn)了地點(diǎn)的正確性。于是他點(diǎn)開(kāi)了幼兒園的位置，進(jìn)入到了實(shí)景模式。

地圖對(duì)比照片（圖片來(lái)自網(wǎng)絡(luò)）

小白：十分嚴(yán)謹(jǐn)啊！

大東：在實(shí)景地圖上，老王找到了拍攝所在的寫字樓。這棟樓屬于軟件園中多公司共用的一棟樓，分別租的不同的樓層用于辦公。從拍攝者的角度初步判斷，所在位置應(yīng)該屬于8層以上的高層。再通過(guò)一些照片的細(xì)節(jié)判斷，位置應(yīng)該是在右邊第一列。

確定大致范圍（圖片來(lái)自網(wǎng)絡(luò)）

小白：觀察仔細(xì)啊！

大東：目前從這張照片所能獲取的信息就這么多了。現(xiàn)在知道了這棟樓的號(hào)碼，知道了這個(gè)軟件園的名字。接下來(lái)老王到“天眼查”上，通過(guò)地址搜索出了不少公司。

小白：又有新問(wèn)題了？

大東：沒(méi)錯(cuò)，這里又引入了新的問(wèn)題——所在位置具體是幾號(hào)。正當(dāng)老王一籌莫展的時(shí)候，偶然間看到了大樓的出租信息。于是他轉(zhuǎn)而又聯(lián)系上了租房中介，希望能獲取更多信息。

小白：真是機(jī)智??！

大東：根據(jù)中介提供的信息，老王最后整理篩出了兩家公司，分別是12層3號(hào)和15層3號(hào)，一家是房屋建筑業(yè)，還有一家是軟件信息技術(shù)服務(wù)業(yè)。而發(fā)圖者的大學(xué)專業(yè)為軟件工程，那么已經(jīng)百分之99確定了那個(gè)這個(gè)軟件信息技術(shù)公司了。

小白：太厲害了！

大東：接著，老王找到了公司的官網(wǎng)，決定對(duì)其登陸注冊(cè)頁(yè)面進(jìn)行一番分析。利用端口掃描工具，老王在掃描結(jié)果中看到了一個(gè)奇怪的端口——8099。訪問(wèn)打開(kāi)后是一個(gè)登錄系統(tǒng)，看上去像是他們員工的登錄系統(tǒng)。

員工系統(tǒng)（圖片來(lái)自網(wǎng)絡(luò)）

小白：誒，有蹊蹺！

大東：老王使用抓包工具分析，本想查看請(qǐng)求的內(nèi)容，但發(fā)現(xiàn)密碼是加了密的。轉(zhuǎn)念一項(xiàng)，干脆試試弱口令。于是他對(duì)賬號(hào)admin開(kāi)始嘗試簡(jiǎn)單密碼——密碼111111，123456等等。結(jié)果就在試到admin123時(shí)，竟然登陸成功了。

小白：不是吧阿sir，就進(jìn)去了？！

大東：不僅如此，在一番利用web工具分析、反序列化等操作，老王竟然成功獲取了網(wǎng)站服務(wù)器的shell。

小白：直接“攻陷”了！

大東：冷靜分析下，老王對(duì)網(wǎng)站提交了該漏洞，又聯(lián)系了還毫不知情的發(fā)圖者，跟他簡(jiǎn)單說(shuō)下這個(gè)情況，讓他跟他們公司趕緊將問(wèn)題給處理了，順便還給他普及了下網(wǎng)絡(luò)安全知識(shí)。

小白：老王真是令人尊敬的白帽！

三、如何預(yù)防

大東：整件事都是從一張普通的隨拍開(kāi)始的，無(wú)意一張照片，卻可以讓一個(gè)完全陌生的人找到他所在的公司，甚至通過(guò)公司官網(wǎng)的漏洞可以獲取更重要的資料，對(duì)公司造成損失。

小白：那咱在生活中該怎么注意這些問(wèn)題呢？

大東：首先要提高我們的網(wǎng)絡(luò)安全意識(shí)，不要輕易公開(kāi)自己的私人照片。如果要發(fā)圖，則可以重點(diǎn)以下幾點(diǎn)：

1）使用圖片編輯器編輯圖像時(shí)，只在Office文檔中使用已經(jīng)經(jīng)過(guò)編輯的圖片。

2）確保涂抹工具的不透明度調(diào)整到100%。

3）如果要使用模糊或像素化工具，請(qǐng)仔細(xì)檢查最終效果，不要露出遮擋字母的形狀。

4）在上傳之前，確保圖片中沒(méi)有露出其他隱私內(nèi)容，比如電子郵件地址、社交網(wǎng)絡(luò)網(wǎng)址、獨(dú)特的紋身、姓名標(biāo)簽或其他類似的潛在標(biāo)識(shí)。

5）刪除圖片元數(shù)據(jù)。如果出于某種原因你想保留這些信息，那就額外復(fù)制一個(gè)專門用于分享的文件副本。在上傳帶有敏感信息的照片之前一定要三思。

小白：嗯！我一定會(huì)注意的！

參考文獻(xiàn)：

1. 一張隨拍引起的安全思考：https://mp.weixin.qq.com/s/m1eahStrcKEN7Dkm6WT0IA

2. 隱藏照片敏感信息，你真的會(huì)了嗎？https://www.kaspersky.com.cn/blog/how-to-leak-image-info/11395/

3. 中科院曾毅：人臉隱私數(shù)據(jù)“一次泄露，終身風(fēng)險(xiǎn)”sohu.com/a/444536053_237556

4. 上傳網(wǎng)盤的信息也會(huì)泄露？個(gè)人隱私照片被多人傳看，太過(guò)分了 https://www.sohu.com/a/442604565_350653

5. 隱私信息頻遭泄露該如何預(yù)防http://www.xinhuanet.com/legal/2020-08/08/c_1126340967.htm

來(lái)源：中國(guó)科學(xué)院信息工程研究所