2009-09-07

2009-09-08 把你PLURK的個人交友狀態看光光

這幾天PLURK上非常熱門的事件是PLURK正妹牆,關於個人資料/照片等個人隱私的安全性引起了很大的迴響.
代表性的評論有
正妹猛男牆衍生討論─Plurk沒刪你過去的大頭照!但圖片使用權在誰手上? – MMDays:
噗浪正妹牆事件看法 + 懶人包 @ [ 人間炮灰 ]:
ping不見路: 噗浪你到底在搞什麼鬼!?:
偏執18度角: 好好思考一下 網路還有安全與隱私嗎?:
相關PLURK的討論也已經夠多了,這邊就不多談了.

不過另一個會讓人有疑慮的部分就是個人在PLURK上的交友情況其實是完全公開的,
要幹出這些資料也不需要太高深的技術,只要一個簡單的GREASEMONKEY外掛就可以做到了.

就算是鎖河道,或是用自訂CSS把好友/粉絲區塊移除,還是有辦法取得你的好友狀態
包含哪些好友被你設為不追蹤,也可以取得你的粉絲清單,最恐怖的是連你follow了哪些人都可以知道.
這也不需要去架SERVER寫程式撈資料,三小API? 不用~就只要抓一個變量再代進另一個變量就可以了XD
想看的人自己裝上此外掛就可以一覽無遺了

以下這支簡單DEMO的GreaseMonkey外掛就可以展現出威力了.

http://userscripts.org/scripts/show/57298

這支GreaseMonkey外掛非常簡單,也沒有做太多判斷,只要九行javascript.
你在PLURK上面交友情況其實是完全公開的...

(內心OS:我好像在補刀ㄟ~~)

EX:下面這張圖片是某位在自介中寫他在噗浪微網誌四個月內已有超過六千餘位的朋友加粉絲,自封為網路行銷與趨勢專家/PLURK行銷達人的仁兄,看了下他所追蹤的USER,哇哩咧一頁10筆我按到一千多頁實在是按不下去了...原來他follow了破萬的USER,看來是大面積的灑網~XD

改用直接更改request中的offset參數來看看他到底Follow了多少人,結果令我訝異
http://www.plurk.com/Friends/getFollowingByOffset?offset=83300&user_id=3216992
他Follow了最少八萬三千個帳號.
推測他的六千多好友應該是主動送出好友邀請之後的結果.
個人是十分佩服他有那毅力去按幾萬下的加好友邀請,不過玩到這樣有意思嗎?

看來也只能在自己的噗裡面自High了,不要奢望他會有時間去看好友/追蹤使用者的噗. XD

另外,PLURK個人頁面中只會顯示年齡,不會顯示使用者自行輸入的出生年月日,不過其實生日資料也是完整由SERVER傳回給前端的,只是不顯示出來而已.
EX: http://www.plurk.com/Users/fetchUserInfo?user_id=3216992
裡面可以看到 "date_of_birth": new Date("Tue, 07 Nov 1978 00:01:00 GMT") 啊~原來老兄您是1978年11月7號生的啊~ 當然有些人會覺得讓人家知道出生年月日沒有關係,不過依據非正式統計,很多人會用生日當作密碼,所以這也就成為一個可供利用的資料了.
PLURK上有幾十萬台灣USER,有心人只要寫個小程式就能去把這幾十萬USER的帳號/生日撈出來,再拿去別的網站服務TRY,只要有千分之一的網友密碼設為生日,那也就能輕易掌握到幾百筆帳號密碼資料了.
所以在此建議千萬別再用生日當密碼啊XD 網路服務輸入資料也盡量不要把生日等詳細資料太老實的輸進去啊,天曉得你用的網路服務會不會就直接把這些資料吐出來..

1 則留言:

提到...

個人覺得它可能不是用 "正常" 的方式去點那7萬多的user資料...

既然都可以用程式抓到這些被刻意擋住的資料,何況是這種東西...

不過我密碼也跟生日有關,但是沒有那麼簡單就是了,科科! XD

--PlayerLin (http://www.plurk.com/PlayerLin)