之前我不是写过,阿普修的最新网站主题到底有多抽象吗?包括但不限于:虽然是用 AI 调的,但是深亮色模式没做好(那你别做不就行了);虽然是用 AI 写的,但语法混乱到像个实习生,代码块背景在暗色模式下白得能当手电筒用。最近这位”独立开发者”又来最新力作了,猜猜是什么?不是新的 UI 框架,也不是优化了什么性能——他把用户评论区当成了公共数据库,把所有人的邮件地址大大方方地躺在了 GitHub 仓库里,就像在自家门口摆了个摊,上面写着”路过瞧一瞧,这里有 36 位网友的隐私”。发现这事儿的时候我血压都上来了,我让 AI 写了个正则脚本,严格筛选仅获取里面完全包含名字、邮箱、网站的信息(不包括匿名但有邮箱、全名有网站但没邮箱,有名字和邮箱但没网站),就像用筛子过滤石头里的金沙——结果您猜怎么着?足足筛出了 36 位完整信息,其中就包括我的大名和常用邮箱在内。那一刻我脑子里只有一个想法:这不叫开源,这叫开盒。

单独有名字,可能不算什么,毕竟互联网上叫张三李四的没有一万也有八千,谁还不是个重名受害者呢;单独有邮箱,也仅仅只是给我发送垃圾短信,我一天收十封“GNU 某大学社团邀请您加入”的邮件轰炸也不差这一封;单独有网站地址?这就是我们现在正在做的,我还希望我的网站有热度呢,巴不得有人顺着网线过来看看我写的流水账。但是如果全部包含,就是一笔不错的资产了——姓名、联系方式、个人网站三位一体,简直就是一份现成的社交关系图谱,拿去社工还是搞精准营销,那都够喝一壶的。更何况评论系统里躺着的,不仅有个人信息,还有你的首次评论哦!那多少会暴露你的性格——是爽朗地打个”哈哈博主说得对”,又或是懦弱地只敢留个”支持”,还是蔑视众人地来一句”就这?”。字里行间的语气词、标点习惯、表情符号偏好,都在无声地画着你的心理画像。现在,让我们有请长得像彭于晏和范冰冰的受害者们(虽然这并不是值得欢庆的颁奖典礼),名单如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Morin莫琳
reimu
Hary
吴蛋蛋
石猫
初然忆
永恒末匕
無境
imba97
AeYunDian
年华
xingwangzhe
Jackie
喵拉蒂奇
crqgxs
克喵
Jack
mxdyeah
Liseezn
蜜蜂QWQ
inkss
梁栋烨
Yuer6327
wmbk
旺东
涵哲子
HEISEN黑森
Liseezn'blog
Wudarensheng
fqzlr
yuqi
安泽
涵哲子
SkyCeria
Chen
Sfcore

如果你恰好是他们的朋友,麻烦你动动手指转发一下这篇文章,告诉他们个人信息正躺在别人的仓库里晒太阳呢。告诉他们下次去别人网站评论最好小心点,谁也拿不准下一个”开源”的会不会是自己的身份证号——这年头,你永远不知道网站作者是把评论当社交功能,还是当数据库采集器。知道这件事后,我也是第一时间告诉了我的朋友小芬,也没什么别的意思,就是纯粹吐槽几句:”你看这哥们,写主题写得稀碎也就算了,现在连用户隐私都开始往外扔了。”那份邮件列表里没有小芬的名字,她逃过一劫,但她还是惊呼,这根本就不好玩,甚至有点十分不成熟,语气里带着那种被冒犯到的震惊。我第一次感受到,原来所谓的开你盒子的黑客,是真的不需要什么高深技巧——不用写什么SQL注入,不用搞什么零日漏洞,也不用在暗网里像特工一样接头交易。去捡垃圾桶里的快递盒,或者蹲在 GitHub 上等一个粗心大意的开发者把评论区的邮件地址一起提交上去,还不简单吗?

技术最恐怖的地方从来不是它有多复杂,而是它门槛低到连防范都显得像个笑话。