社交网站与网民隐私安全报告(2009)
报告概要:用户隐私面临巨大威胁 社交网站成泄密主要途径
瑞星研究统计团队掌握的数据表明,目前中国网民的个人隐私(注1)泄露情况已经达到了相当严重的程度,而造成这种情况的主要原因,已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”,而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。
(注1:本报告所指的个人隐私,主要包括手机号、邮件账号密码、MSN账号密码、QQ账号密码、婚姻情况、教育情况、年龄、性别、身体健康情况等。网银账号、网游帐号、证券账号等个人虚拟财产等不包括在内。)
本团队对国内上百个社交网站的分析研究后发现,这些网站从设计伊始就把“商业利益”放在了“安全原则”之前,他们诱导用户填写自己的真实资料,利用记录的MSN账号密码和邮箱密码,频繁骚扰注册用户的邮箱联系人、MSN好友;通过网站注册时的“免责声明”来免除自己的法律责任,让用户承担全部的安全风险。他们使用的种种商业手段,让用户防不胜防。
传统上,用户的手机号、邮箱账号等个人资料,通常是木马病毒、恶意程序在网络上自动收集。这些程序都是黑客个人控制,其影响范围较小、对用户的威胁并不太大。而现在的社交网站借助欧美国家成熟的商业模式、心理诱导手段,利用流量巨大的商业网站来进行网民个人隐私资料的收集,其商业效率已经达到了十分恐怖的程度。
由于过去黑客经常利用木马病毒窃取用户资料、发送商业广告,使得现在很多用户一旦发现自己的资料泄露,往往会归咎于黑客、木马。例如,2009年3月,被文化部处罚的“热血三国”游戏就曾经盗用用户的MSN账号,向其好友发送商业广告。出现这种问题时,网民经常会埋怨杀毒软件不管用,以为自己的电脑里有木马杀不掉。实际上他的电脑是完全正常的,只是那些商家在盗用用户的MSN账户。
据国外媒体报道,目前包括Myspace账号、Facebook账号等国外社交网站的资料,都可以在黑市上买到,单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。从瑞星的调查结果来看,国内的开心网、海内网等社交网站的账号,尚未发现被黑客大规模出售的迹象。但很多网上出售的网民个人资料,包括手机号大全、身份证打包出售等,很可能是通过社交网站外泄的。
业内人士估计,目前TOP5的社交网站,可以覆盖北京、上海95%以上的年轻网民,广州80%以上的年轻网民。在报告的撰写过程中,我们使用一个带有30名好友的MSN账号注册某社交网站,登陆后发现有16人把自己的MSN好友列表储存在该网站的服务器上。类似情况,在各大社交网站都有出现,十分让人震惊。
调查结果显示,社交网站存在的七种主要安全风险包括:
1、利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。
2、通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。网站提供的安全保护,却存在很多问题。
3、鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。
4、网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。
5、网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。
6、频繁骚扰注册用户的联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,并频繁发送广告。
7、用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
针对上述问题,瑞星安全专家建议:
1、在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料。
2、不要随意通过陌生人的MSN好友请求、SNS网站的好友请求。
3、把自己的SNS资料设为最高安全等级。