圈小蛙
近日,国内用户大量使用的号称“安全高效的服务器运维面板”宝塔面板(bt.cn)深陷隐私风波,网友famen称其使用预留的后门接口,定时收集服务器上的大量用户隐私数据。
宝塔面板是国内比较知名的服务器网站搭建面板,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能,傻瓜式操作让小白也能方便用服务器搭建网站环境,从而赢得了大量站长用户。
据网友famen表示,宝塔面板收集的数据主要有两种:
一是收集服务器上配置的所有域名,对应的文件是/class/public.py;并检测域名是否可用,对应的文件是/class/acme_v2.py。由于是服务器直接请求,会很容易获取域名对应绑定的 IP,从而搜集域名与IP的对应信息。
二是收集网站管理人员针对面板后台的操作日志,包括管理员的访问时间,客户端IP,请求方式,请求路径,用户的UA,操作动作等,等同于一个审计日志了。对应的文件是/class/public.py,保存到/www/server/panel/logs/request/目录,并由/script/site_task.py文件打包发送到宝塔的服务器,由/task/bt-task.c文件每小时执行一次。
宝塔官方发现事态严重性后于5月11日推出更新,进一步减少对云端的依赖。
不过网友也表示收集信息是正常的,宝塔面板网站中确实存在了收集用户信息的隐私声明:
3.1 您直接提供的信息
某些服务会要求您直接向我们提供信息。例如:
例如,使用堡塔ssl证书服务,当您创建堡塔账号时,可能需要提交某些个人信息,例如您的姓名、手机号码、电子邮件地址和证件号码。
如果您向我们订购产品或收费服务,我们可能会询问您的姓名、联系信息、配送地址、支付信息,以便处理您的订单。
3.2 有关服务使用情况的信息
除了您提供的信息以外,我们还可能通过您设备中的软件以及其他方式来收集您使用我们的服务的相关信息。例如,我们可能收集:
设备信息—例如硬件型号、手机号、IMEI 号码和其他唯一设备标识符、MAC 地址、IP 地址、操作系统版本以及用于访问服务的设备的设置。
日志信息—例如使用服务的时间和持续时间、通过服务输入的搜索查询字词,以及设备上设置的 Cookie 中所存储的相关信息。
位置信息—例如设备的IP地址的相关信息,这些信息可能会在您使用某些服务时传送给我们。
有关您使用服务的其他信息,例如所使用的应用程序、访问的网站以及如何与通过服务提供的内容交互。
对于服务端软件收集信息,大家怎么看?