Einmal ist keinmal

中国移动保存的某些用户短信泄露小谈

最近豆瓣上有个帖子,讲的是在Google中输入filetype:txt site:10086.cn 就可以搜到私人短信,下边几张图是我自己搜到的短信:

上图为其中一些短信截图

下图为在Google搜索的截图:

大家可以自己去试试。

技术层面上来说,网站屏蔽搜索引擎爬虫的抓取是极其简单的,只需几行代码robot.txt声明不许访问即可,可见移动的开发在这里实在是太粗心大意了。值得注意的是,在244条信息之中,只有一条是江苏移动的,其余全是广东移动的。在244条信息中,大多数为广告和推广短信,就是我们平常收到的那种,只有极少数为私人彩信(可以注意到在mms_file文件夹中的为彩信),并且,文件夹命名是依据发送时间归档的,可以看出这条彩信发送的时间,但只有244条未免太少了,我猜想可能是因为以下几个原因:

  • 根域名下很少会存放公用资源,更别说需要加密的用户信息了。10086.cn只是移动的主要使用域名之一,几乎没有可能成为他的资源服务器,举个例子,大家查看人人网的源码,会发现资源是放在xnimg.cn这个域名下(如布局样式文件:http://s.xnimg.cn/a19557/csspro/base/layout.css ),移动也当然会有其他域名做为资源服务器,如果移动采用txt的方式保存用户彩信数据,也可能在这些域上发现私人彩信或者信息。
  • 不同省的移动可能没有采用同一套方式保存信息,我不太清楚为什么广东移动的工程师会这么粗心,也可能这些信息是内部人员测试所用。
  • 按时间来看,并没有2011年的新信息,可能是由于数据部署方法更换,导致留存了这些旧信息,不知道什么原因没有删除。

不过,撇开这些技术问题,中国移动真的有权保存用户的彩信和短信息(这么久吗)?如果09年我发的信息现在还被保存着,是不是说明中国移动有一个巨大的信息数据库,甚至还在进行某些“有价值”的数据挖掘呢?这真是个可怕的问题。