论坛徽章:: 0

1楼 [报告]

发表于 2009-04-01 14:03 |只看该作者

经过本报告撰写团队的仔细分析，目前国内社交网站在用户的个人隐私保护方面，存在七种主要的安全风险:：\r\n \r\n 第一、利用引诱、误导等方式，鼓励用户填写MSN和QQ的账号、密码。\r\n \r\n 例如，在新用户注册某网站的时候，弹出的注册界面就是“你的MSN账号”、“你的MSN密码”，让人误以为只能用MSN账号和密码来登陆该网站。实际上，你可以任意填写可用的邮箱帐号，任意填写密码即可登陆。\r\n \r\n \r\n 在注册登陆之后，网站还会在很多环节要求用户提供MSN账号密码。例如，在“查找好友”功能、“争车位”游戏、“买房子”游戏中，都会不断出现对话窗口，要求用户填写自己的MSN帐号和密码。\r\n \r\n \r\n \r\n 目前，包括MSN帐号密码、QQ帐号密码等信息填写与否，已经成为衡量社交网站注册用户质量的重要因素，因此这些网站都在不惜一切手段鼓励用户填写真实资料。\r\n \r\n 在几年前，一个名为“中国缘”的网站就曾经大规模利用用户填写的MSN账号和密码发送可疑程序、商业广告等，从事流氓行为。根据瑞星检测，目前绝大多数社交网站还仅仅是收集用户的MSN账号，并没有像“中国缘”那样进行大规模的流氓利用。但是，其中蕴含的隐私泄露风险是不言而喻的。\r\n \r\n 第二、通过游戏积分奖励、优先享受新功能等方式，鼓励用户填写自己的真实情况。\r\n \r\n 无论风险投资人（VC）还是行业分析专家，对于社交网站注册用户的衡量标准，就是其用户的真实程度如何。用户填写的个人资料越详细，就越有商业价值。因此，所有的社交网站都在鼓励用户填写真实资料。但提供的安全保护却并不充足。\r\n \r\n 例如，在某网站注册用户的时候，会要求用户上传真实头像，旁边的注释写着：上传真实头像的好处，无限容量邮箱，更多的游戏奖励……等等。同样，很多社交网站采取邀请朋友注册送积分、送更大的博客空间等方式，引诱用户把自己的邮箱密码、通讯录等私密资料交给网站。\r\n \r\n 尽管在这些网站有提醒：完成此功能后请修改密码，但很多安全意识不强的用户会自动省略这一步骤，从而造成个人隐私泄露。这样，为了更快的升级，更好的游戏体验，很多不了解安全风险的用户，自然会选择填写真实资料。\r\n \r\n 下图：几乎所有社交网站都开通了多种邀请好友的方式，涉及Outlook通讯录、MSN密码、Foxmail通讯录等三种个人隐私。\r\n \r\n \r\n \r\n 第三、鼓励网民将网站帐户与手机绑定，建立手机信息库，存在隐私泄露风险。\r\n \r\n 绝大多数SNS网站都带有手机验证、手机绑定、用手机取回密码等功能，该功能的存在，虽然能够方便用户的使用，但很可能带来隐私泄露的风险。尤其是有些中小SNS网站通过建立用户的手机信息库，可以出售给商家，向用户的手机大量发送商业短信等。\r\n \r\n 此前，也曾经出现过由于网站倒闭而出售用户数据库；或者聘任有道德问题的员工，窃取公司的用户数据库；被黑客攻击，盗取用户数据库等。一旦发生上述问题，就会出现用户的手机号、邮箱、生日、银行卡号等个人情况泄露，被出售、转卖，被人利用来进行黑客攻击、商业利益等。\r\n \r\n 第四、网站的隐私保护设计，完全以“方便”为立足点，漠视用户的“安全风险”。\r\n \r\n 在所社交网站站（SNS）的架构设计、功能设计中，一开始就是完全以“方便用户”、“吸引用户注册”为根本思想，漠视这些方便性的设计可能给用户带来的安全风险。例如，在某网站的“查找好友”功能中，如果你填写了MSN账号和密码，则你所有的MSN好友列表都会被保存到服务器上，当你的MSN好友再注册某网站时，则你们会自动成为好友。\r\n \r\n 毋庸讳言，这种功能设计会给用户带来非常方便的体验，而且加强了用户的互动，有利于“黏住”用户。但是，这个设计在安全上的风险也是显而易见的。例如，如果你在淘宝上出售东西，为了方便联系把其加为MSN好友。当两个人同时在开心网注册时，则你们会自动成为好友。\r\n \r\n 而且，某网站默认的隐私保护级别是：两个好友可以相互浏览对方的私密信息，如手机号、家庭住址、婚姻情况、教育情况等私人信息都可以被看到。如果你采用默认设置，你的信息就会被这个“陌生人”看到，产生不可测的安全风险。\r\n \r\n \r\n \r\n 第五、网站使用大量ajax技术，很容易产生XSS和CSRF攻击，使用户电脑中毒，网银账户失窃等。\r\n \r\n 社交（SNS）网站容易遭到的病毒类安全风险主要有两类：一类是因为采用ajax技术而导致的蠕虫攻击，如Myspace、国内的51.com、校内网都曾经出现过各自的网内蠕虫，这些蠕虫通过利用个人空间、模板上的bug，可以自动向用户的好友发送带毒链接，用户浏览后就会中毒。\r\n \r\n 另外一类是由于SNS网站对cookie的不恰当使用，而导致黑客可以轻易发动CSRF攻击。所谓CSRF攻击，指的是Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。\r\n \r\n 例如，有的SNS网站为了让用户经常登陆，利用一个永久有效的Cookie，让用户永久保持在登陆状态。这样，用户只要输入网站的网址，不用填写自己的账号和密码，就可以登陆，使用SNS网站的各种功能。只要黑客拿到机器上储存的这个Cookie，就可以以用户的身份做任何事情。\r\n \r\n 这只是CSRF攻击最简单的利用，更复杂的利用包括：如果用户登录到网银账号，则黑客可以通过成功的CSRF攻击，从用户的帐号里转走钱财。或者，在后台“帮用户购买并不需要的商品”。\r\n \r\n \r\n \r\n 第六、频繁骚扰注册用户的联系人，诱骗其注册自己的网站，并发送商业广告。\r\n \r\n 大多数交友网站（SNS）社交网站用户MSN账号、邮件帐号密码、手机号码等资料之后，会对其进行大规模的商业利用。最为常见的方式，就是向用户的MSN好友发送商业广告，或者向用户foxmail通讯录中的邮件地址发送邀请注册信件。尤其是一些网站，会发送带有暧昧的字眼的邮件，通过利用用户的好奇心理，吸引他们注册，骗取其手机号、MSN账号等私人信息。\r\n \r\n 典型案例：“我从来没有去过任何交友网站，也不爱玩这个，今天突然收到一朋友的电子邮件写着《我想跟你明确关系》，点邮件里的链接后出现一个页面，直接要求我填写MSN账号和密码，这是怎么回事啊？是病毒吗？”北京网民张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证，这可能是一起的社交网站骗取用户个人隐私信息的行为。\r\n \r\n \r\n （张先生收到的邮件）\r\n\r\n\r\n \r\n （该网站直接要求张先生提供MSN密码）\r\n \r\n \r\n \r\n 前一段时间，一个名为“热血三国”的游戏，由于向MSN用户大规模发送商业链接，被多家媒体广泛关注。有的用户以为自己中毒才受这些垃圾信息的骚扰，而实际上，这是用户的MSN账号泄露后，那些广告厂商利用MSN机器人主动发送的商业信息。\r\n \r\n 第七、用户在游戏、交流的过程中很容易泄露自己的真实情况，可能给人肉搜索、黑客诈骗带来方便。\r\n \r\n 对于用户来讲，交友网站是个真实的社交网站场所，而在论坛发贴、发表博客的同时，很容易泄露自己的隐私、个人情况。一旦被人恶意利用，则会出现不可预料的后果。例如，曾经闹得沸沸扬扬的“史上最牛小三”、“铜须门”等事件，就让当事人陷入非常尴尬的地步。\r\n \r\n 尤其是国内流行的“人肉搜索”，目前主要搜索的领域还是先有论坛、博客等。如果将来扩展到对交友网站的利用，则社交网站隐私的安全按威胁，也将比现在扩大许多倍，更会让普通用户面临毫无隐私的地步。而这些隐私如果被黑客利用，则其诈骗成功率也会大大增加。\r\n \r\n \r\n（淘宝网上出售的账号，如果被黑客购买，那账号好友的隐私，则处于不设防状态）\r\n \r\n 交友网站通过“免责声明”规避法律责任\r\n \r\n 事实上，绝大多数交友网站已经意识到社交网站提到的安全风险，他们通过各种“免责声明”、“用户注册须知”等方式，对自己的法律责任进行了规避。\r\n \r\n 例如，某网站的注册帮助中写到“本公司对直接、间接、偶然、特殊及继起的损害不负责任，这些损害来自:不正当使用产品服务，在网上购买商品或类似服务，在网上进行交易，非法使用服务或用户传送的信息有所变动。”\r\n \r\n 又比如，某网站的隐私保护中写到“用户须明白，在使用我们提供的服务存在有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯（包括知识产权）的匿名或冒名的信息的风险，用户须承担以上风险，**网和合作公司对服务不作任何类型的担保”\r\n \r\n 通过类似的条款，那些交友网站撇除了自己社交网站的责任。