继抽象网站的最新力作:继抽象网站后,她泄露了 36 个邮件地址
之前我不是写过,阿普修的最新网站主题到底有多抽象吗?包括但不限于:虽然是用 AI 调的,但是深亮色模式没做好(那你别做不就行了);虽然是用 AI 写的,但语法混乱到像个实习生,代码块背景在暗色模式下白得能当手电筒用。最近这位”独立开发者”又来最新力作了,猜猜是什么?不是新的 UI 框架,也不是优化了什么性能——他把用户评论区当成了公共数据库,把所有人的邮件地址大大方方地躺在了 GitHub 仓库里,就像在自家门口摆了个摊,上面写着”路过瞧一瞧,这里有 36 位网友的隐私”。发现这事儿的时候我血压都上来了,我让 AI 写了个正则脚本,严格筛选仅获取里面完全包含名字、邮箱、网站的信息(不包括匿名但有邮箱、全名有网站但没邮箱,有名字和邮箱但没网站),就像用筛子过滤石头里的金沙——结果您猜怎么着?足足筛出了 36 位完整信息,其中就包括我的大名和常用邮箱在内。那一刻我脑子里只有一个想法:这不叫开源,这叫开盒。
单独有名字,可能不算什么,毕竟互联网上叫张三李四的没有一万也有八千,谁还不是个重名受害者呢;单独有邮箱,也仅仅只是给我发送垃圾短信,我一天收十封“GNU 某大学社团邀请您加入”的邮件轰炸也不差这一封;单独有网站地址?这就是我们现在正在做的,我还希望我的网站有热度呢,巴不得有人顺着网线过来看看我写的流水账。但是如果全部包含,就是一笔不错的资产了——姓名、联系方式、个人网站三位一体,简直就是一份现成的社交关系图谱,拿去社工还是搞精准营销,那都够喝一壶的。更何况评论系统里躺着的,不仅有个人信息,还有你的首次评论哦!那多少会暴露你的性格——是爽朗地打个”哈哈博主说得对”,又或是懦弱地只敢留个”支持”,还是蔑视众人地来一句”就这?”。字里行间的语气词、标点习惯、表情符号偏好,都在无声地画着你的心理画像。现在,让我们有请长得像彭于晏和范冰冰的受害者们(虽然这并不是值得欢庆的颁奖典礼),名单如下:
1 | Morin莫琳 |
如果你恰好是他们的朋友,麻烦你动动手指转发一下这篇文章,告诉他们个人信息正躺在别人的仓库里晒太阳呢。告诉他们下次去别人网站评论最好小心点,谁也拿不准下一个”开源”的会不会是自己的身份证号——这年头,你永远不知道网站作者是把评论当社交功能,还是当数据库采集器。知道这件事后,我也是第一时间告诉了我的朋友小芬,也没什么别的意思,就是纯粹吐槽几句:”你看这哥们,写主题写得稀碎也就算了,现在连用户隐私都开始往外扔了。”那份邮件列表里没有小芬的名字,她逃过一劫,但她还是惊呼,这根本就不好玩,甚至有点十分不成熟,语气里带着那种被冒犯到的震惊。我第一次感受到,原来所谓的开你盒子的黑客,是真的不需要什么高深技巧——不用写什么SQL注入,不用搞什么零日漏洞,也不用在暗网里像特工一样接头交易。去捡垃圾桶里的快递盒,或者蹲在 GitHub 上等一个粗心大意的开发者把评论区的邮件地址一起提交上去,还不简单吗?
技术最恐怖的地方从来不是它有多复杂,而是它门槛低到连防范都显得像个笑话。







