企业网站设计wordpress,python 视频播放网站开发,做衣服的教程网站有哪些,网站后台管理系统模板社交网站与网民隐私安全报告#xff08;2009#xff09; 免责声明#xff1a; 本报告主要内容来自瑞星客户服务中心和瑞星互联网攻防实验室的调查和研究成果#xff0c;部分数据来自来自瑞星“云安全”系统#xff0c;仅针对网民在使用国内社交网站#xff08;SNS#x… 社交网站与网民隐私安全报告2009 免责声明 本报告主要内容来自瑞星客户服务中心和瑞星互联网攻防实验室的调查和研究成果部分数据来自来自瑞星“云安全”系统仅针对网民在使用国内社交网站SNS的过程中可能遇到的个人隐私安全问题做出的调查、统计、分析和建议。 本报告提供给网民、媒体、政府和行业管理机构等有关方面作为互联网信息安全状况的介绍和研究资料以及对用户的安全警告和建议。如若本报告阐述之状况、数据与其它机构研究结果有差异请读者自行辨别。本报告所提及案例和人物均以公证请相关机构在引用时请保持事件描述和资料的完整性否则瑞星公司不承担与此相关的一切法律责任。 目录 报告概要用户隐私面临巨大威胁 社交网站成泄密主要途径 第一节、社交网站成主要泄密渠道 第二节、社交网站的七种安全风险 报告概要用户隐私面临巨大威胁 社交网站成泄密主要途径 瑞星研究统计团队掌握的数据表明目前中国网民的个人隐私①泄露情况已经达到了相当严重的程度而造成这种情况的主要原因已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。 注1本报告所指的个人隐私主要包括手机号、邮件账号密码、MSN账号密码、QQ账号密码、婚姻情况、教育情况、年龄、性别、身体健康情况等。网银账号、网游帐号、证券账号等个人虚拟财产等不包括在内。 本团队对国内上百个社交网站的分析研究后发现这些网站从设计伊始就把“商业利益”放在了“安全原则”之前他们诱导用户填写自己的真实资料利用记录的MSN账号密码和邮箱密码频繁骚扰注册用户的邮箱联系人、MSN好友通过网站注册时的“免责声明”来免除自己的法律责任让用户承担全部的安全风险。他们使用的种种商业手段让用户防不胜防。 传统上用户的手机号、邮箱账号等个人资料通常是木马病毒、恶意程序在网络上自动收集。这些程序都是黑客个人控制其影响范围较小、对用户的威胁并不太大。而现在的社交网站借助欧美国家成熟的商业模式、心理诱导手段利用流量巨大的商业网站来进行网民个人隐私资料的收集其商业效率已经达到了十分恐怖的程度。 由于过去黑客经常利用木马病毒窃取用户资料、发送商业广告使得现在很多用户一旦发现自己的资料泄露往往会归咎于黑客、木马。例如2009年3月被文化部处罚的“热血三国”游戏就曾经盗用用户的MSN账号向其好友发送商业广告。出现这种问题时网民经常会埋怨杀毒软件不管用以为自己的电脑里有木马杀不掉。实际上他的电脑是完全正常的只是那些商家在盗用用户的MSN账户。 据国外媒体报道目前包括Myspace账号、Facebook账号等国外社交网站的资料都可以在黑市上买到单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。从瑞星的调查结果来看国内的开心网、海内网等社交网站的账号尚未发现被黑客大规模出售的迹象。但很多网上出售的网民个人资料包括手机号大全、身份证打包出售等很可能是通过社交网站外泄的。 业内人士估计目前TOP5的社交网站可以覆盖北京、上海95%以上的年轻网民广州80%以上的年轻网民。在报告的撰写过程中我们使用一个带有30名好友的MSN账号注册某社交网站登陆后发现有16人把自己的MSN好友列表储存在该网站的服务器上。类似情况在各大社交网站都有出现十分让人震惊。 调查结果显示社交网站存在的七种主要安全风险包括 1、利用引诱、误导等方式鼓励用户填写MSN和QQ的账号、密码。 2、通过游戏积分奖励、优先享受新功能等方式鼓励用户填写自己的真实情况。网站提供的安全保护却存在很多问题。 3、鼓励网民将网站帐户与手机绑定建立手机信息库存在隐私泄露风险。 4、网站的隐私保护设计完全以“方便”为立足点漠视用户的“安全风险”。 5、网站使用大量ajax技术很容易产生XSS和CSRF攻击使用户电脑中毒网银账户失窃等。 6、频繁骚扰注册用户的联系人诱骗其注册自己的网站甚至直接骗取隐私信息并频繁发送广告。 7、用户在游戏、交流的过程中很容易泄露自己的真实情况可能给黑客诈骗带来方便。 针对上述问题瑞星安全专家建议 1、在社交网站填写任何个人资料之前都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料 2、不要随意通过陌生人的MSN好友请求、SNS网站的好友请求 3、把自己的SNS资料设为最高安全等级 第一节 社交网站成主要泄露渠道 在传统上人们往往认为木马病毒会窃取QQ号、邮箱地址后门程序可以让黑客偷窥你电脑上的手机号、通讯录从而把“隐私泄露”的责任全部归因于“电脑中毒、电脑中了木马”等技术因素。 其实现在的情况已经有了很大改变社交网站的隐私泄露、用户个人的安全意识不强等非技术性的因素已经成为收集、利用网民隐私的重要原因。而那些木马、病毒、后门程序则成为他们收集网民隐私的辅助工具而不再是主要因素。 通过社交网站商业公司不但可以收集用户的手机号、MSN账号等普通信息还可以通过分析网民发布的博客、帖子、同学群体等推测出用户的消费倾向节俭还是奢侈、个人婚姻情况单身还是离婚、工作情况是否有跳槽的意向等十分隐私的信息。 用户经常遇到的泄密问题包括 1、手机号泄露。手机号泄露之后很多人会频繁接到各种广告短信推销发票、枪支、性用品等非法物品有人会接到各种诈骗电话近来热门的“中奖电话”、“退税诈骗电话”等起因往往就是由于用户的手机号泄露。 2、MSN账号密码泄露QQ帐号密码。MSN和QQ作为人们日常应用的网络通讯工具一旦泄露会带来很多麻烦。比如黑客会编写机器人程序利用收集到的MSN账号密码登陆然后向其好友发送垃圾消息、商业广告等。 3、邮件账号泄露Outlook通讯录、Foxmail通讯录泄露。黑客会使用收集到的邮箱帐号密码登陆冒充用户向其好友发送商业广告、病毒链接、木马网站链接甚至可以利用该邮箱获取用户更多的个人隐私。 4、真实情况泄露。这主要指的是网民的一些真实生活情况会被网上泄露典型的如“虐猫女”、“铜须门”、“最牛小三”、“北师大美女副总裁”事件等。发生泄露之后人们的正常生活会遭到严重影响。 5、病毒和挂马网站。用户的邮件账号、QQ号、MSN账号泄露后经常会收到木马网站链接、钓鱼网站链接等。如果不做好防备很容易中毒。 上述这些泄密问题往往存在于博客、社交网站、论坛上而社交网站由于兼具博客和论坛功能其危险性更是不容低估。 第二节 社交网站的七种安全风险 作为目前火热的社交网站其中的领先者通常有数千万注册用户。据业内人士估计排行前列的社交网站一般会在北京拥有用户300万以上上海300万以上广州200万以上。根据其经营策略的不同人群分布会有不同比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体一旦发生个人隐私泄露其危害不容低估。 在流行的社交网站中要求用户填写的个人资料包括性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用网站的交友功能、游戏功能通常还要提供更多的信息包括MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。可以说如果网民将这些信息全部填写完毕那就几乎没有任何隐私可言。 而且根据瑞星的调查分析通过“查找朋友”、“游戏邀请”等方式引诱用户填写隐私资料、对其好友进行频繁骚扰并不是某个网站的单独行为而已经成为很多SNS借以吸引用户的重要手段几乎所有网站都在采用几乎成为社交网站最为重要的“潜规则”。而正是这些潜规则对用户的安全构成了严重威胁。 经过本报告撰写团队的仔细分析目前国内社交网站在用户的个人隐私保护方面存在七种主要的安全风险: 第一、利用引诱、误导等方式鼓励用户填写MSN和QQ的账号、密码。 例如在新用户注册某网站的时候弹出的注册界面就是“你的MSN账号”、“你的MSN密码”让人误以为只能用MSN账号和密码来登陆该网站。实际上你可以任意填写可用的邮箱帐号任意填写密码即可登陆。 在注册登陆之后网站还会在很多环节要求用户提供MSN账号密码。例如在“查找好友”功能、“争车位”游戏、“买房子”游戏中都会不断出现对话窗口要求用户填写自己的MSN帐号和密码。 目前包括MSN帐号密码、QQ帐号密码等信息填写与否已经成为衡量社交网站注册用户质量的重要因素因此这些网站都在不惜一切手段鼓励用户填写真实资料。 在几年前一个名为“中国缘”的网站就曾经大规模利用用户填写的MSN账号和密码发送可疑程序、商业广告等从事流氓行为。根据瑞星检测目前绝大多数社交网站还仅仅是收集用户的MSN账号并没有像“中国缘”那样进行大规模的流氓利用。但是其中蕴含的隐私泄露风险是不言而喻的。 第二、通过游戏积分奖励、优先享受新功能等方式鼓励用户填写自己的真实情况。 无论风险投资人VC还是行业分析专家对于社交网站注册用户的衡量标准就是其用户的真实程度如何。用户填写的个人资料越详细就越有商业价值。因此所有的社交网站都在鼓励用户填写真实资料。但提供的安全保护却并不充足。 例如在某网站注册用户的时候会要求用户上传真实头像旁边的注释写着上传真实头像的好处无限容量邮箱更多的游戏奖励……等等。同样很多社交网站采取邀请朋友注册送积分、送更大的博客空间等方式引诱用户把自己的邮箱密码、通讯录等私密资料交给网站。 尽管在这些网站有提醒完成此功能后请修改密码但很多安全意识不强的用户会自动省略这一步骤从而造成个人隐私泄露。这样为了更快的升级更好的游戏体验很多不了解安全风险的用户自然会选择填写真实资料。 下图几乎所有社交网站都开通了多种邀请好友的方式涉及Outlook通讯录、MSN密码、Foxmail通讯录等三种个人隐私。 第三、鼓励网民将网站帐户与手机绑定建立手机信息库存在隐私泄露风险。 绝大多数SNS网站都带有手机验证、手机绑定、用手机取回密码等功能该功能的存在虽然能够方便用户的使用但很可能带来隐私泄露的风险。尤其是有些中小SNS网站通过建立用户的手机信息库可以出售给商家向用户的手机大量发送商业短信等。 此前也曾经出现过由于网站倒闭而出售用户数据库或者聘任有道德问题的员工窃取公司的用户数据库被黑客攻击盗取用户数据库等。一旦发生上述问题就会出现用户的手机号、邮箱、生日、银行卡号等个人情况泄露被出售、转卖被人利用来进行黑客攻击、商业利益等。 第四网站的隐私保护设计完全以“方便”为立足点漠视用户的“安全风险”。 在所社交网站站SNS的架构设计、功能设计中一开始就是完全以“方便用户”、“吸引用户注册”为根本思想漠视这些方便性的设计可能给用户带来的安全风险。例如在某网站的“查找好友”功能中如果你填写了MSN账号和密码则你所有的MSN好友列表都会被保存到服务器上当你的MSN好友再注册某网站时则你们会自动成为好友。 毋庸讳言这种功能设计会给用户带来非常方便的体验而且加强了用户的互动有利于“黏住”用户。但是这个设计在安全上的风险也是显而易见的。例如如果你在淘宝上出售东西为了方便联系把其加为MSN好友。当两个人同时在开心网注册时则你们会自动成为好友。 而且某网站默认的隐私保护级别是两个好友可以相互浏览对方的私密信息如手机号、家庭住址、婚姻情况、教育情况等私人信息都可以被看到。如果你采用默认设置你的信息就会被这个“陌生人”看到产生不可测的安全风险。 第五网站使用大量ajax技术很容易产生XSS和CSRF攻击使用户电脑中毒网银账户失窃等。 社交SNS网站容易遭到的病毒类安全风险主要有两类一类是因为采用ajax技术而导致的蠕虫攻击如Myspace、国内的51.com、校内网都曾经出现过各自的网内蠕虫这些蠕虫通过利用个人空间、模板上的bug可以自动向用户的好友发送带毒链接用户浏览后就会中毒。 另外一类是由于SNS网站对cookie的不恰当使用而导致黑客可以轻易发动CSRF攻击。所谓CSRF攻击指的是Cross-site request forgery跨站请求伪造也被称成为“one click attack”或者session riding通常缩写为CSRF或者XSRF是一种对网站的恶意利用。 例如有的SNS网站为了让用户经常登陆利用一个永久有效的Cookie让用户永久保持在登陆状态。这样用户只要输入网站的网址不用填写自己的账号和密码就可以登陆使用SNS网站的各种功能。只要黑客拿到机器上储存的这个Cookie就可以以用户的身份做任何事情。 这只是CSRF攻击最简单的利用更复杂的利用包括如果用户登录到网银账号则黑客可以通过成功的CSRF攻击从用户的帐号里转走钱财。或者在后台“帮用户购买并不需要的商品”。 第六、频繁骚扰注册用户的联系人诱骗其注册自己的网站并发送商业广告。 大多数交友网站SNS社交网站用户MSN账号、邮件帐号密码、手机号码等资料之后会对其进行大规模的商业利用。最为常见的方式就是向用户的MSN好友发送商业广告或者向用户foxmail通讯录中的邮件地址发送邀请注册信件。尤其是一些网站会发送带有暧昧的字眼的邮件通过利用用户的好奇心理吸引他们注册骗取其手机号、MSN账号等私人信息。 典型案例“我从来没有去过任何交友网站也不爱玩这个今天突然收到一朋友的电子邮件写着《我想跟你明确关系》点邮件里的链接后出现一个页面直接要求我填写MSN账号和密码这是怎么回事啊是病毒吗”北京网民张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证这可能是一起的社交网站骗取用户个人隐私信息的行为。 张先生收到的邮件 该网站直接要求张先生提供MSN密码 前一段时间一个名为“热血三国”的游戏由于向MSN用户大规模发送商业链接被多家媒体广泛关注。有的用户以为自己中毒才受这些垃圾信息的骚扰而实际上这是用户的MSN账号泄露后那些广告厂商利用MSN机器人主动发送的商业信息。 第七、用户在游戏、交流的过程中很容易泄露自己的真实情况可能给人肉搜索、黑客诈骗带来方便。 对于用户来讲交友网站是个真实的社交网站场所而在论坛发贴、发表博客的同时很容易泄露自己的隐私、个人情况。一旦被人恶意利用则会出现不可预料的后果。例如曾经闹得沸沸扬扬的“史上最牛小三”、“铜须门”等事件就让当事人陷入非常尴尬的地步。 尤其是国内流行的“人肉搜索”目前主要搜索的领域还是先有论坛、博客等。如果将来扩展到对交友网站的利用则社交网站隐私的安全按威胁也将比现在扩大许多倍更会让普通用户面临毫无隐私的地步。而这些隐私如果被黑客利用则其诈骗成功率也会大大增加。 淘宝网上出售的账号如果被黑客购买那账号好友的隐私则处于不设防状态 交友网站通过“免责声明”规避法律责任 事实上绝大多数交友网站已经意识到社交网站提到的安全风险他们通过各种“免责声明”、“用户注册须知”等方式对自己的法律责任进行了规避。 例如某网站的注册帮助中写到“本公司对直接、间接、偶然、特殊及继起的损害不负责任这些损害来自:不正当使用产品服务在网上购买商品或类似服务在网上进行交易非法使用服务或用户传送的信息有所变动。” 又比如某网站的隐私保护中写到“用户须明白在使用我们提供的服务存在有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯包括知识产权的匿名或冒名的信息的风险用户须承担以上风险**网和合作公司对服务不作任何类型的担保” 通过类似的条款那些交友网站撇除了自己社交网站的责任。
