[网站]查看分享链接中暴露账号的小工具

很多软件在用户往微信等地方分享内容时,基本都会在链接中插入追踪代码

有的会加上登录账号的明文uid关联用户身份,在群或朋友圈分享的内容很可能无意间向陌生人泄露自己的隐私

这个小网页可以从分享链接中找到账号

支持常用平台的识别,微博、小红书、网易云音乐、QQ音乐等等
希望厂商能注意到此类问题,换更安全的分享方式

1 Like

我怎么感觉这反而更会是成为一种更便捷的 反查别人泄露的隐私 的工具呢(毕竟更重要的是防止这个问题,但下面没有措施推荐也,可能本来就想把它当一个娱乐性点的工具吧)

很多人不知道分享会暴露账号,这个工具就是让人直观的认识到这个问题
除了不分享或者发截图,普通用户没什么简单的办法
最好让厂商认识到app分享带uid的隐私问题然后优化分享机制

感觉这个好像不太可能,很多厂商似乎就是通过这种机制为其推荐算法或用户画像系统服务、从而达到营利目的的。

1 Like

这根本不现实(难道这不是他们有意为之的吗,甚至还有隐水印呢

1 Like

两者不冲突,用户身份使用明文uid,可以换成单向加密的标识符,厂商后台能关联用户,别人不知道对应关系,这样就不会暴露,有些应用已经是这么做的

问题是厂商没有动力去做这件事情,这样做好处是什么呢?宣传隐私性吗(不在乎的人不在乎,在乎的人会觉得这有用吗,杯水车薪而已

首先还是要感谢开发者的这个工具,以及您唤起大众隐私意识的努力。不过恕我直言,这个应用会不会无形中“帮助”了隐私的泄露?比如别人分享了一个带跟踪参数的链接,本来大家不知道是谁分享的,但用您的产品查询后,就更容易地知道分享者的身份了。虽然理论上根据UID信息也可以找到用户,但您的产品让这个查询过程更加便捷了,这是否与您保护隐私的初衷背道而驰?

鄙人愚见,您的产品只需要告诉用户链接是否会泄露隐私即可,最多告诉用户链接中的哪些文本会泄露身份,不要提供查询用户身份功能可能更好一些。

3 Likes

你可以搜索一下,近几年一直有零星的帖子提醒分享会暴露账号,也有几个小工具可以查,但没什么热度

前几天小红书有个万赞笔记上了热门讨论这事,分享链接一长串参数会带账号推荐算法常规操作我以为很多人知道,没想到大家对此感到十分惊奇又十分在意

还见过有人发帖问怎么从文档里找一段话,Ctrl+F这么基础的电脑知识都能有人不知道,正是用户不知道UTM的风险厂商才更不在乎,没有动力在隐私方面投入人力整改

但永远有人更有动力更有利益去研究去使用各种奇技淫巧或者漏洞,中国互联网头次出圈的用户数据泄漏事件是csdn800万,在此之前已经被黑产成熟利用,人们不知道而已

我在网页的FAQ里也加了这个问题的回答:
你为什么要做这个网站,没人知道不是更好吗?
鸵鸟心态的认知不会使这个世界变得更好,这条微博(https://weibo.com/1764919567/4732117127529494
)很好的说明了这个道理

1 Like

赞!既然可以知道暴露的账户,是不是可以推出净化链接的功能?

1 Like

相比于分析链接这个事儿 清理链接 和重定向更重要

我现在一直在浏览器中用脚本解决这两个问题

尽量保证不被追踪,虽然毫无卵用 :rofl:

没有很好的办法。我目前的策略是用浏览器的无痕模式找到需要的网页再复制链接。如果一个应用没有网页版或者强制登录,我就只把链接分享给信任的人。

对于 Android 系统,Fcitx 5 搭配这个插件,可以自动滤除跟踪参数:

1 Like

分享链接泄漏了哪些隐私?泄漏UID能泄漏什么?
我就是问问

链接中的跟踪参数似乎主要用于分析链接点击量的来源。您可以参考这篇文章。

至于泄露 UID 的风险,个人认为(纯属个人推测,现实生活中这种情况应该很少见)比较值得警惕的可能是某些社会工程学方面的应用。换言之:“开盒”。如果您转发的链接携带了能表征转发者身份的信息,那么某些人有可能据此说您支持某种观点,进而“扣帽子”,罗织罪名。另外,如果参与转发披露某些事件的内容,携带了个人信息,被触及利益者是否会通过其中跟踪参数确定转发者,从而实施打击报复,也很难说。

移动端的话不方便看到完整的 url,又喜欢用短链跳转

以 b 站移动端分享链接为例:

直接复制后是这样的 https://b23.tv/XXXX

重定向后是这样的:https://www.bilibili.com/video/BVxxxxx/?buvid=value1&from_spmid=value2&is_story_h5=value3&mid=value4&p=value5&share_from=value6&share_plat=value7&share_session_id=value8&share_tag=value9&spmid=value10&timestamp=value11&unique_k=value12

好家伙 12 个跟踪参数,这些参数去掉也不会影响跳转到视频

这些参数可能包括但不限于:

  • 分享人的账号 uid ,有的是加密过的需要逆向,楼主主要做的就是这个,看链接中有没有包含分享人的信息
  • 分享人分享所使用的的平台
  • 分享视频的信息

想象一下你在某个匿名的社交平台或者群和某人对线或者发表某些言论,之后又分享了含个人信息的短链

对方根据 uid 就得到你的 b 站账号,恰巧你的 b 站账号实名绑定了,之后就。。。


如果不想暴露个人信息可以直接分享 bv 号

B站移动端起码没有放明文的uid,有参数疑似带有账号信息,需要进apk包找链接生成逻辑来验证

web端有个vd_source的参数,是uid的md5值,十几位纯数字生成的md5,在线破解的网站基本都收录了,可以还原出账号id


用户分享动作意图是分享内容本身,应用没有明确告知或有明显提示包含可溯源的账号信息,分享会产生预期外的副作用,这本身就是潜在风险

像某K歌软件,分享后顶部直接显示用户名,分享者起码有途径可以知道这样会暴露账号,可以主动规避

1 Like

我觉得您可能误会我的意思了。鄙人想说的,不是您不应该告诉大家链接会泄露用户个人信息,而是 希望您不要把链接中通过 UID 展示的个人信息给公布出来

诚然,通过您的网站告诉大家链接中可以挖掘出用户身份信息,并展示出用户具体身份,对用户更有警醒效果。但这样做,会不会被别有用心的人拿来更方便地泄露他人信息呢?比如说,一般用户可能只是用您的网站来识别自己分享出去的链接会不会泄露个人信息,但我们难以保证有好事者拿别人分享的链接,从中提取分享者信息,再用得到的信息做一些不妥当的行为。

我对大佬的项目/产品没有任何意见,只是单纯以 b 站为例的回复下 @hzhbest 的疑问,如果大佬觉得我的回复哪里有问题,还请指正

不过我搜了下 b 站好像以前确实有存在明文 uid 的情况,现在加密了https://www.bilibili.com/read/cv17740410

看了部分坛友的建议,比如加入净化链接的功能,我个人觉得这个建议不错,但大佬似乎对此不感冒

也看了官网,可以了解到的是大佬对隐私保护这方面确实很重视,但据我所知,官网中输入链接查询后,链接内的信息也是可以被大佬存储的,我找了下似乎没有看到隐私协议,这也可能让部分用户在使用大佬的产品上有些担心,如果有隐私协议的话,还请大佬给个链接

用uid找到账号没有任何技术难度,重点不在展不展示


净化链接这类工具,我自己是没什么毅力去使用,尤其在手机端,操作上不是很好的解决办法


输入的链接不会存储,也不涉及邮箱手机号等个人信息,但腾讯云平台自身应该会依照网络安全法把访问请求存满180天

2 Likes