瑞星发布社交网站与网民隐私安全报告2009,指出社交网站存七大风险,用户隐私面临巨大威胁。
报告概要
免责声明:
本报告主要内容来自瑞星客户服务中心和瑞星互联网攻防实验室的调查和研究成果,部分数据来自来自瑞星“云安全”系统,仅针对网民在使用国内社交网站(SNS)的过程中,可能遇到的个人隐私安全问题,做出的调查、统计、分析和建议。
本报告提供给网民、媒体、政府和行业管理机构等有关方面,作为互联网信息安全状况的介绍和研究资料,以及对用户的安全警告和建议。如若本报告阐述之状况、数据与其它机构研究结果有差异,请读者自行辨别。本报告所提及案例和人物,均以公证,请相关机构在引用时请保持事件描述和资料的完整性,否则瑞星公司不承担与此相关的一切法律责任。
报告概要:用户隐私面临巨大威胁 社交网站成泄密主要途径
瑞星研究统计团队掌握的数据表明,目前中国网民的个人隐私①泄露情况已经达到了相当严重的程度,而造成这种情况的主要原因,已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”,而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。
(注1:本报告所指的个人隐私,主要包括手机号、邮件账号密码、MSN账号密码、QQ账号密码、婚姻情况、教育情况、年龄、性别、身体健康情况等。网银账号、网游帐号、证券账号等个人虚拟财产等不包括在内。)
本团队对国内上百个社交网站的分析研究后发现,这些网站从设计伊始就把“商业利益”放在了“安全原则”之前,他们诱导用户填写自己的真实资料,利用记录的MSN账号密码和邮箱密码,频繁骚扰注册用户的邮箱联系人、MSN好友;通过网站注册时的“免责声明”来免除自己的法律责任,让用户承担全部的安全风险。他们使用的种种商业手段,让用户防不胜防。
传统上,用户的手机号、邮箱账号等个人资料,通常是木马病毒、恶意程序在网络上自动收集。这些程序都是黑客个人控制,其影响范围较小、对用户的威胁并不太大。而现在的社交网站借助欧美国家成熟的商业模式、心理诱导手段,利用流量巨大的商业网站来进行网民个人隐私资料的收集,其商业效率已经达到了十分恐怖的程度。
由于过去黑客经常利用木马病毒窃取用户资料、发送商业广告,使得现在很多用户一旦发现自己的资料泄露,往往会归咎于黑客、木马。例如,2009年3月,被文化部处罚的“热血三国”游戏就曾经盗用用户的MSN账号,向其好友发送商业广告。出现这种问题时,网民经常会埋怨杀毒软件不管用,以为自己的电脑里有木马杀不掉。实际上他的电脑是完全正常的,只是那些商家在盗用用户的MSN账户。
据国外媒体报道,目前包括Myspace账号、Facebook账号等国外社交网站的资料,都可以在黑市上买到,单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。从瑞星的调查结果来看,国内的开心网、海内网等社交网站的账号,尚未发现被黑客大规模出售的迹象。但很多网上出售的网民个人资料,包括手机号大全、身份证打包出售等,很可能是通过社交网站外泄的。
业内人士估计,目前TOP5的社交网站,可以覆盖北京、上海95%以上的年轻网民,广州80%以上的年轻网民。在报告的撰写过程中,我们使用一个带有30名好友的MSN账号注册某社交网站,登陆后发现有16人把自己的MSN好友列表储存在该网站的服务器上。类似情况,在各大社交网站都有出现,十分让人震惊。
调查结果显示,社交网站存在的七种主要安全风险包括:
利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。
通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。网站提供的安全保护,却存在很多问题。
鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。
网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。
网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。
频繁骚扰注册用户的联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,并频繁发送广告。
用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
针对上述问题,瑞星安全专家建议:
在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料
不要随意通过陌生人的MSN好友请求、SNS网站的好友请求
把自己的SNS资料设为最高安全等级
网友评论