隐私安全困扰社交网站
热点直击
唯利是图的小型社交网站、黑客贪婪的眼睛,都盯上了存在于社交网站中的大量用户个人信息,而频频出现的隐私泄露事件正在降低人们对社交网站的信任度……
前不久,包括美国总统巴拉克·奥巴马在内的33位美国名人的Twitter账号曾被更改,而Myspace账号、Facebook账号等社交网站的资料,如今可以在黑市上买到,这些被卖到黑市的账号,极有可能被黑客利用,进行扩展性攻击,甚至通过你和好友与亲人的特定身份和信任关系获取他们的信用卡资料、网络银行账户密码等各种财富隐私。国内的现状同样也不乐观,来自瑞星互联网攻防实验室和瑞星客户服务中心的统计研究表明,目前国内网民的个人隐私泄露情况已经达到相当严重的程度,而社交网站在泄露用户隐私方面表现尤为突出。
网站营销泄露用户隐私
过去的六个月中,什么网最火?开心网。过去的六个月中,哪个邮件主题亮相最多?“某某邀请你加入开心网,并成为他的好友”。但是开心网怎么会知道你的邮件地址?原来是好友把自己的QQ、MSN账号上的全部联系人都导入了开心网,而后自己成为了群发邮件的对象。想不理睬吗?那就计算一下你的QQ和MSN上一共有多少联系人吧。四十?五十?一百?其中有一半的人给你发送这样的链接的话,就绝对可以说是一场邮件轰炸。在这样的轰炸之下,每个参与者都是亲人、朋友、同事,你如何忍心全部置之不理?再加上好奇心理作祟,所以尽管不以为然,终于有一天你也点击鼠标,打开了开心网的注册页面。
社交网站的注册页面上,会向你索要大量的个人信息。姓甚名谁?手机电话?工作单位?家庭住址?索要每个信息的时候都有理由。姓名是为了搜索方便,手机是为了取回密码,地址是为了寄送礼品。当然,还有信誓旦旦的保证,“本站绝对不会出售你的个人信息给第三方”。末了,你也会顺手把自己的QQ和MSN的密码输入,于是一批“邀请函”又如脱弦之箭,发向那成百联系人的收件箱。
只要想想刚才这一连串的动作,任何一个有安全工作经验的人都会不寒而栗。开心网只是个例子,目前它还没有出过类似于大面积隐私泄露这样的公共事件。但是如果把故事的主角换成一些唯利是图的小型社交网站,那么如果有一天你莫名其妙地收到一张欠额数十万元人民币的通信消费账单的话,千万不要感觉奇怪:是你把家庭住址和手机号码告诉别人的。隐私条款?笑话,那只是网站制作时从别处复制过来的模板而已!
从隐私分类的角度而言,个人身份如姓名、籍贯,财务信息如银行账号、资金托管号等都属于受法律保护的最高级的隐私。联系方式、个人密码等虽然级别上低于前者,但是对个人来说也是相当重要的。联系方式的泄露会给垃圾邮件带来可乘之机甚至埋下潜在的人身财产安全隐患,而密码的泄露则可能被不法分子利用,伪装身份给当事人带来巨大的精神和财产损失,以及不可估量的法律风险。
目前,绝大多数的社交网站采用的是所谓的病毒式营销模式发展注册会员,即让一批基础会员通过导入联系人的方式迅速传播,而很少采用个别注册的方式。这首先为行业领头的网站如Facebook、Twitter采用,而后成功模式被大量复制。问题在于,并非每个社交网站都有足够的安全意识和技术实力来保证用户提交的隐私资料的安全。甚至有为数不少的此类网站打着社交网站之旗行流氓营销之实,将收集来的用户隐私资料转卖给非法用途,将无辜的用户置于巨大的安全风险之下。
社交网站正成为黑客新的目标
存储着大量用户个人隐私信息的社交网站,从来都是恶意软件制造者的垂涎之处。受到偷窥心理和巨大商业利益的驱动,对于社交网站的攻击从来没有停止过。
新的Web技术给了社交网站新的用户体验,而这些新的技术大多数来自ajax、ActiveX控件和跨站脚本,而这几种技术无一不带有很高的安全风险和传播性。瑞星公司前不久发布的《网民隐私与社交网站(SNS)安全报告(2009)》中显示:“XSS(ajax技术的风险)和CSRF攻击(跨站脚本的风险)已经成为社交网站的七大风险之一”,这也是这些风险中唯一提及的纯粹技术型风险。
一旦网站被攻破,社交网站及其用户面临着更大的隐私风险。例如4月13日,校内网对插入图片过滤不严格,导致了XSS漏洞的触发,利用该漏洞可以获取访问该日志的用户的Cookie,并且在访问者的校内账户中自动发布一篇伪造的日志,该日志中也嵌入了XSS漏洞代码,造成了蠕虫式攻击。
当用户的Cookie被盗取后,黑客可以利用盗取的Cookie以用户的身份进行登录,对于只有好友权限才可以访问的账户,此时都可以访问,并且黑客能冒充你的身份在你的好友里留言,骗取他们点击黑客制造的钓鱼网站,或者更深入地获取他们的隐私信息,后果不堪设想。
除了黑客攻击外,部分社交网站为了提高内容的吸引度,将用户的默认隐私访问权限设置得很低,导致用户在不知情的情况下把自己隐私程度较高的内容公之于众,等到受到攻击再更改时为时已晚,给用户造成很大的心理伤害。而自己的隐私落入他人之手造成的小到邮件骚扰,大到人身伤害的威胁,更是悬在用户头上的一柄达摩克利斯剑。
自助防范社交网站隐私安全侵害
社交网站已经成为新网民网络生活中的重要部分,据统计,新网民中的95%都加入了至少一种社交网站。前五大社交网站更是网罗了网民中的80%,这个影响力是空前的。大量的网民每天起床的第一件事就是上社交网站检查好友更新,它已经是一种事实上的生活方式。所以,通过简单粗暴的“不加入社交网站”来防止隐私安全侵害,似有“倒洗澡水时将孩子一起倒掉”之嫌。当然,不加入社交网站就不会有这方面的隐患,这对于隐私信息非常重要的人,比如军人、安全工作者来说,仍然可能是唯一可行的解决方案。
但是即使加入了社交网站,并不意味着隐私信息一定会落人他人之手。以下的几条安全建议是非常重要的防范之道:
选择信誉可靠、有技术实力的社交网站。通过检查社交网站的备案情况、近6个月访问流量和经营介绍,就可以对网站的大致情况有一个初步了解,切忌被非正规网站的诱惑性内容吸引而注册——绝大多数中毒的用户都是这样上当的。
在提交个人信息时,尽可能地少提供。要认真对待每一项内容的隐私选项,了解可以控制开放的对象是哪些,这些人中有否自己不希望透露的。需要了解的是,信息具有无限的可复制性,只要开放一瞬间,就无可挽回。
绝对不要提供信用卡号等财务信息,否则一旦网站遭殃,就追悔莫及了。
在推荐好友进入社交网站时,一定不要盲目群发。非必要的情况下,不要提供自己的邮箱或聊天工具的密码。即使对一些信誉良好的网站使用导入工具时,也要在导入朋友之前仔细进行遴选,向那些你真正希望邀请的人发出邀请。