原文如下：

速盘是一个知名的百度网盘下载工具了，几乎是无人不知 ，但是今天我发现速盘在打开、下载分享链接的过程中涉嫌上传登录的百度网盘账号cookie数据，以下是分析全过程。

首先下载速盘工具(下载地址速盘官网：http://www.speedpan.com)并打开打开速盘下载工具，看到其告知需要登录才能下载：

于是登录了百度网盘账号，并使用了里面的分享并下载方式：
在这时打开了抓包软件，抓取奇数据包，在数据包中，发现在一堆像百度请求的包含一个向速盘自有域名(api.speedpan.com)发送的数据包，而数据包中发送的内容却包括在速盘登录的账号的cookie数据：

而通过截图可以看到，在发送的cookie中，包含登录账号的BDUSS数据，这是百度账号验证的一个重要凭证，而这一凭证被速盘工具直接在后台上传到了速盘服务器中，凭借这个，速盘服务器端完全可以在无需账号密码的情况下任意登录任何使用过“分享并下载”用户的百度网盘账号，甚至由于百度各个旗下产品公用统一的SSO（单点登录）进行登录，所以速盘服务器端甚至可能可以登录其他百度产品（如：百度贴吧，百度知道……）。

以上是分析全过程，希望使用速盘的朋友予以重视，修改百度账号密码，尽量不要使用像速盘这样的第三方工具，保证账号安全


文件名称：speedpan_1.9.13.7z

CRC32: 4CE28389
MD5: 51AE6D761DCC45BDD43CA5938B22A727
SHA-1: 6D546D7628A32C3043FD08AB9391F68698487815


由于文件超过限制大小，上传百度云！

样本下载：链接: https://pan.baidu.com/s/1NfRZSQ9wcZ-WpWPOLXLawA 提取码: vxry

原帖：https://www.52pojie.cn/thread-856862-1-1.html

速盘作者的解释

https://www.52pojie.cn/forum.php?mod=viewthread&tid=856862&page=6#pid23698112

另外，速盘曾有过偷偷上传用户私密分享的链接和提取码的行为，现在有没有就不知道了。

这个应该就是大数据的“杰作”之一了。

https://www.52sopan.com/

总之很多软件都是养肥了再杀。

还是谨慎使用第三方软件。  

必须要用的话，建议使用小号，注意不要留有自己的私密信息。

一般充钱能解决的问题，我都建议充钱

之前用的时候提示什么上传私密分享大家一起的选项，单单是这个就有些不太对头，私密私密顾名思义不是公开分享更不是共享，被举报的话度盘文件不能下载和不能分享链接相比后果太严重了

无所谓，他爱登他登，我的账号专门下东西也没别的内容。

回帖我全编辑了，不用再翻我回帖记录了，这号我早就决定扔了

用户被禁言,该主题自动屏蔽!

就是窃取数据。

引用

引用第6楼22ffde8f于2019-01-22 21:50发表的  :
无所谓，他爱登他登，我的账号专门下东西也没别的内容。

筛选呗，我记得看一个大数据报告
人与人之间都有关联性，人的数据也是如此

大概就是一些有的没的数据分析，然后中间得到一个奇葩的数据结果
然后某些结果，可以卖钱（

都免费软件了。。。不搞些东西难道做慈善啊？？

顶！d=====(￣▽￣*)b

没用过

去年没回到魂+前，度盘被限速又不充会员，上知乎找下载器用的是度盘下载器，次次打开它的软件都要以浏览器窗口式访问百度页面的登陆界面，登陆后就用它的软件界面，而不是网页形式，我在想这个会不会记下我的cookies或者session之类的信息，之后没管它，因为反正百度绑了的手机号可以验证，密码就算被它真的截胡获取还能改，盘里也没什么好东西，随他，后来满速下载次数多了就被百度关进小黑屋限速后才交两百多开会员了。这些盘是用着不太安全的，如果你没有一些技术手段去从底层分析他的程序和网络通讯过程的话，就好像很多免费的PC插件或软件为什么他说报毒叫你关了杀毒软件呢。

emmm

不要觉得这没什么呀坛友们
你们的账号可能没啥钱
但很可能被抓去变成水军广告号
甚至说不定因为被举报的多了就被封了

不然你们以为speedpan是怎么实现“90%资源不用输入提取码就能下载”的？

退一万步说也只是提交百度的cookies无所谓，反正我是申请的小号用的speedpan，被盗了也

就是被用来当个营销号水军号罢了。  

那么，交10块钱上速盘定制版，要用QQ登录验证，这个会有危险吗