瑞星发布社交网站与网民隐私安全报告2009,指出社交网站存七大风险,用户隐私面临巨大威胁。
社交网站七种安全风险
第三、鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。
绝大多数SNS网站都带有手机验证、手机绑定、用手机取回密码等功能,该功能的存在,虽然能够方便用户的使用,但很可能带来隐私泄露的风险。尤其是有些中小SNS网站通过建立用户的手机信息库,可以出售给商家,向用户的手机大量发送商业短信等。
此前,也曾经出现过由于网站倒闭而出售用户数据库;或者聘任有道德问题的员工,窃取公司的用户数据库;被黑客攻击,盗取用户数据库等。一旦发生上述问题,就会出现用户的手机号、邮箱、生日、银行卡号等个人情况泄露,被出售、转卖,被人利用来进行黑客攻击、商业利益等。
第四,网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。
在所社交网站站(SNS)的架构设计、功能设计中,一开始就是完全以“方便用户”、“吸引用户注册”为根本思想,漠视这些方便性的设计可能给用户带来的安全风险。例如,在某网站的“查找好友”功能中,如果你填写了MSN账号和密码,则你所有的MSN好友列表都会被保存到服务器上,当你的MSN好友再注册某网站时,则你们会自动成为好友。
毋庸讳言,这种功能设计会给用户带来非常方便的体验,而且加强了用户的互动,有利于“黏住”用户。但是,这个设计在安全上的风险也是显而易见的。例如,如果你在淘宝上出售东西,为了方便联系把其加为MSN好友。当两个人同时在开心网注册时,则你们会自动成为好友。
而且,某网站默认的隐私保护级别是:两个好友可以相互浏览对方的私密信息,如手机号、家庭住址、婚姻情况、教育情况等私人信息都可以被看到。如果你采用默认设置,你的信息就会被这个“陌生人”看到,产生不可测的安全风险。
第五,网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。
社交(SNS)网站容易遭到的病毒类安全风险主要有两类:一类是因为采用ajax技术而导致的蠕虫攻击,如Myspace、国内的51.com、校内网都曾经出现过各自的网内蠕虫,这些蠕虫通过利用个人空间、模板上的bug,可以自动向用户的好友发送带毒链接,用户浏览后就会中毒。
另外一类是由于SNS网站对cookie的不恰当使用,而导致黑客可以轻易发动CSRF攻击。所谓CSRF攻击,指的是Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
例如,有的SNS网站为了让用户经常登陆,利用一个永久有效的Cookie,让用户永久保持在登陆状态。这样,用户只要输入网站的网址,不用填写自己的账号和密码,就可以登陆,使用SNS网站的各种功能。只要黑客拿到机器上储存的这个Cookie,就可以以用户的身份做任何事情。
这只是CSRF攻击最简单的利用,更复杂的利用包括:如果用户登录到网银账号,则黑客可以通过成功的CSRF攻击,从用户的帐号里转走钱财。或者,在后台“帮用户购买并不需要的商品”。
网友评论