发现官网的过程
事情要从上周三说起。那天刷朋友圈看到有人转发个课程广告截图,标题特别唬人:《七天蜕变!自大辣妹的逆袭指南》。我手贱点开大图一看,底下角落里印着行小字“官方唯一报名通道”。当时就笑了:这种野鸡课程还敢自称官方网站?
正好手头在写隐私安全的系列内容,职业病犯了。直接掏出备用机,开飞行模式连公共WiFi,打开浏览器就开始戳。先试了广告图上的域名缩写,跳转到个粉红色闪瞎眼的页面,背景飘着大量爱心特效——好家伙,这官网审美跟90年代街边发廊似的。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
隐私漏洞初体验
重点来了:我随手在注册栏填了瞎编的邮箱(ilovehack@不存在.com),密码敲了123456,点完注册居然直接弹出个金色勋章动画:“尊贵的VIP学员!”。当时就懵了——邮箱真实性都不验证?连个短信验证码都省了?
进到用户后台更离谱。个人资料页强制要求上传真人自拍,提示文字写着“让导师看清你的气质缺陷”。我翻了半天愣是没找到“跳过”按钮,倒是发现相册权限默认全开,连系统剪贴板都要访问。
深入踩坑实录
第二天用电脑登录继续测试。点开课程详情页时突然弹窗:“检测到您首次学习!请开通安全守护套餐”。仔细看小字说明——要额外付200块才能关闭“同学互看学习进度”功能。合着默认设置是裸奔?
最骚的操作来了:当我点击“隐私设置”想关掉定位权限,页面直接卡死三分钟。刷新后弹出个粉红对话框:“检测到恶意操作!已为您智能恢复安全设定”。低头一看手机,好嘛相册访问权限自己又打开了。
- 强行收集生物照片
- 默认公开学习记录
- 付费才能关隐私开关
- 权限开关自动重置
我反手就在虚拟机里装了抓包工具。结果刚启动课程直播,防火墙突然报警——检测到客户端每分钟向三个不同IP发送设备信息。其中有个服务器地址特别眼熟,查了下是某著名数据倒卖公司的机房。
最终结论
现在看到标题里吹“隐私保护措施强”就想笑。这官网简直是把用户数据当街甩卖:不要密码就能登录,不给照片不让上课,隐私开关是摆设,暗中还搞数据三路分发。
昨天特意问了报过课的朋友。她哭诉说买完3888的课程包后,每天接到20个骚扰电话,从借贷到整形医院全齐活。最绝的是有家机构开口就问:“X女士,您在我们辣妹成长计划提交的胸部尺寸数据……”
反正现在遇到吹隐私保护的平台,我都建议先塞个假数据试试。能注册成功?跑就对了!
