社交网站的七种安全风险
●利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码
●通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况
●鼓励网民将网站账户与手机绑定,建立手机信息库
●网站的隐私保护设计以“方便”为立足点,漠视用户的安全风险
●网站使用的技术,很容易使用户电脑中毒,网银账户失窃等
●频繁骚扰注册用户的MSN、邮件联系人,甚至直接骗取隐私信息
●用户在游戏、交流过程中很容易泄露自己的真实情况,给黑客诈骗带来方便
本报北京3月30日电 (记者杨健)我国最大的反病毒企业瑞星公司今天发布《社交网站与网民隐私安全报告》,针对目前非常热门的社交网站用户发出安全警告:网民在社交网站注册个人资料之后,很容易遭遇手机号泄露、MSN和邮箱账号密码被盗用等七大安全风险,而利用各种方式骗取网民个人资料用以牟利,已经成为社交网站利润的重要来源。
社交网站存在七种安全风险
报告称,瑞星互联网攻防实验室的统计研究表明,目前国内网民的个人隐私泄露情况已经相当严重,而造成这种情况的主要原因,已经从“木马病毒小规模窃取”逐步转变为商业公司的有目的收集,这些商业公司诱导网民泄露隐私,然后记录用户隐私并牟利,而一些社交网站则表现得尤为突出,充当了“个人信息提供商”的角色。
据瑞星工程师介绍,目前很多流行的社交网站,注册时往往要求用户填写详细的个人资料,包括:性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用交友功能、游戏功能,通常还要提供更多的信息,包括:MSN账号密码、QQ账号密码、Outlook邮箱通讯录。在获取这些资料后,有些网站还会利用这些资料,冒充用户身份向MSN或者邮箱通讯录中的联系人发送邮件,以骗取更多用户来注册。
根据瑞星安全人员的分析,目前社交网站存在七种主要安全风险:一是利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。二是通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。三是鼓励网民将网站账户与手机绑定,建立手机信息库,存在隐私泄露风险。四是网站的隐私保护设计,完全以“方便”为立足点,漠视用户的安全风险。五是网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。六是频繁骚扰注册用户的MSN、邮件联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,以及推送广告。七是用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
网民要提高自我防范意识
据初步统计,目前国内比较红火、排行前列的社交网站通常有上千万注册用户。在大中型城市15至30岁的网民中,有95%以上会注册一个或几个社交网站。在瑞星公司的测试中,用一个拥有30名好友的MSN账号注册某社交网站,登录后发现,好友中的16人填写了自己的MSN账号密码,把好友列表存储在该网站的服务器上。如此巨大的用户群体,一旦发生个人隐私泄露,其危害不容低估。
瑞星安全专家建议,普通网民要提高自我防范意识,采取如下措施:严防社交网站的蠕虫攻击;尽量不要在社交网站填写过于详细的个人资料;不要轻易加MSN好友、QQ好友、社交网站好友;在使用社交网站时,要充分利用其安全机制。例如,通过社交网站邀请好友时,如果输入了自己的MSN账号密码、邮箱账号密码,在使用完该功能之后要马上修改密码。这样,就可以规避掉一些安全风险。
专家认为,鉴于目前个人隐私保护不力的情况,国家相关部门应该出台针对性的法律、规章,通过法律途径或者是行业规范对利用个人隐私牟利的企业行为作出查处。同时,社交网站行业应该主动进行行业自律,不能只看到侵害用户隐私带来的短期利益,而要维护行业长期的健康发展。