社交網站與網民隱私安全報告（2009）

社交網站與網民隱私安全報告（2009）

 

免責宣告：

 

本報告主要內容來自瑞星客戶服務中心和瑞星網際網路攻防實驗室的調查和研究成果，部分資料來自來自瑞星“雲安全”系統，僅針對網民在使用國內社交網站（SNS）的過程中，可能遇到的個人隱私安全問題，做出的調查、統計、分析和建議。

 

本報告提供給網民、媒體、政府和行業管理機構等有關方面，作為網際網路資訊保安狀況的介紹和研究資料，以及對使用者的安全警告和建議。如若本報告闡述之狀況、資料與其它機構研究結果有差異，請讀者自行辨別。本報告所提及案例和人物，均以公證，請相關機構在引用時請保持事件描述和資料的完整性，否則瑞星公司不承擔與此相關的一切法律責任。

 

目錄：

 

　　報告概要：使用者隱私面臨巨大威脅 社交網站成洩密主要途徑

 

　　第一節、社交網站成主要洩密渠道

 

　　第二節、社交網站的七種安全風險

報告概要：使用者隱私面臨巨大威脅 社交網站成洩密主要途徑

 

瑞星研究統計團隊掌握的資料表明，目前中國網民的個人隱私①洩露情況已經達到了相當嚴重的程度，而造成這種情況的主要原因，已經從“木馬病毒竊取”逐步轉變為“有組織、大規模的進行商業收集利用”，而社交網站更成為誘導網民洩露隱私、記錄隱私、利用網民隱私牟利的巨大商業集團。

 

（注1：本報告所指的個人隱私，主要包括手機號、郵件賬號密碼、MSN賬號密碼、QQ賬號密碼、婚姻情況、教育情況、年齡、性別、身體健康情況等。網銀賬號、網遊帳號、證券賬號等個人虛擬財產等不包括在內。）

 

本團隊對國內上百個社交網站的分析研究後發現，這些網站從設計伊始就把“商業利益”放在了“安全原則”之前，他們誘導使用者填寫自己的真實資料，利用記錄的MSN賬號密碼和郵箱密碼，頻繁騷擾註冊使用者的郵箱聯絡人、MSN好友；通過網站註冊時的“免責宣告”來免除自己的法律責任，讓使用者承擔全部的安全風險。他們使用的種種商業手段，讓使用者防不勝防。

 

傳統上，使用者的手機號、郵箱賬號等個人資料，通常是木馬病毒、惡意程式在網路上自動收集。這些程式都是黑客個人控制，其影響範圍較小、對使用者的威脅並不太大。而現在的社交網站藉助歐美國家成熟的商業模式、心理誘導手段，利用流量巨大的商業網站來進行網民個人隱私資料的收集，其商業效率已經達到了十分恐怖的程度。

 

由於過去黑客經常利用木馬病毒竊取使用者資料、傳送商業廣告，使得現在很多使用者一旦發現自己的資料洩露，往往會歸咎於黑客、木馬。例如，2009年3月，被文化部處罰的“熱血三國”遊戲就曾經盜用使用者的MSN賬號，向其好友傳送商業廣告。出現這種問題時，網民經常會埋怨防毒軟體不管用，以為自己的電腦裡有木馬殺不掉。實際上他的電腦是完全正常的，只是那些商家在盜用使用者的MSN賬戶。

 

據國外媒體報導，目前包括Myspace賬號、Facebook賬號等國外社交網站的資料，都可以在黑市上買到，單個賬戶的價格根據活躍等級、完善程度從幾美分到幾美元不等。從瑞星的調查結果來看，國內的開心網、海內網等社交網站的賬號，尚未發現被黑客大規模出售的跡象。但很多網上出售的網民個人資料，包括手機號大全、身份證打包出售等，很可能是通過社交網站外洩的。

 

業內人士估計，目前TOP5的社交網站，可以覆蓋北京、上海95%以上的年輕網民，廣州80%以上的年輕網民。在報告的撰寫過程中，我們使用一個帶有30名好友的MSN賬號註冊某社交網站，登陸後發現有16人把自己的MSN好友列表儲存在該網站的伺服器上。類似情況，在各大社交網站都有出現，十分讓人震驚。

 

調查結果顯示，社交網站存在的七種主要安全風險包括：

 

1、利用引誘、誤導等方式，鼓勵使用者填寫MSN和QQ的賬號、密碼。

2、通過遊戲積分獎勵、優先享受新功能等方式，鼓勵使用者填寫自己的真實情況。網站提供的安全保護，卻存在很多問題。

3、鼓勵網民將網站帳戶與手機繫結，建立手機資訊庫，存在隱私洩露風險。

4、網站的隱私保護設計，完全以“方便”為立足點，漠視使用者的“安全風險”。

5、網站使用大量ajax技術，很容易產生XSS和CSRF攻擊，使使用者電腦中毒，網銀賬戶失竊等。

6、頻繁騷擾註冊使用者的聯絡人，誘騙其註冊自己的網站，甚至直接騙取隱私資訊，並頻繁傳送廣告。

7、使用者在遊戲、交流的過程中很容易洩露自己的真實情況，可能給黑客詐騙帶來方便。

 

針對上述問題，瑞星安全專家建議：

 

1、在社交網站填寫任何個人資料之前，都要了解到其中蘊含的風險。儘量不要在社交網站填寫過於詳細的個人資料

2、不要隨意通過陌生人的MSN好友請求、SNS網站的好友請求

3、把自己的SNS資料設為最高安全等級

第一節 社交網站成主要洩露渠道

 

在傳統上，人們往往認為木馬病毒會竊取QQ號、郵箱地址，後門程式可以讓黑客偷窺你電腦上的手機號、通訊錄，從而把“隱私洩露”的責任全部歸因於“電腦中毒、電腦中了木馬”等技術因素。

 

其實現在的情況已經有了很大改變，社交網站的隱私洩露、使用者個人的安全意識不強等非技術性的因素，已經成為收集、利用網民隱私的重要原因。而那些木馬、病毒、後門程式則成為他們收集網民隱私的輔助工具，而不再是主要因素。

 

通過社交網站，商業公司不但可以收集使用者的手機號、MSN賬號等普通訊息，還可以通過分析網民釋出的部落格、帖子、同學群體等，推測出使用者的消費傾向（節儉還是奢侈）、個人婚姻情況（單身還是離婚）、工作情況（是否有跳槽的意向）等十分隱私的資訊。

 

使用者經常遇到的洩密問題包括：

 

1、手機號洩露。手機號洩露之後，很多人會頻繁接到各種廣告簡訊，推銷發票、槍支、性用品等非法物品；有人會接到各種詐騙電話，近來熱門的“中獎電話”、“退稅詐騙電話”等，起因往往就是由於使用者的手機號洩露。

 

2、MSN賬號密碼洩露（QQ帳號密碼）。MSN和QQ作為人們日常應用的網路通訊工具，一旦洩露會帶來很多麻煩。比如，黑客會編寫機器人程式，利用收集到的MSN賬號密碼登陸，然後向其好友傳送垃圾訊息、商業廣告等。

 

3、郵件賬號洩露（Outlook通訊錄、Foxmail通訊錄洩露）。黑客會使用收集到的郵箱帳號密碼登陸，冒充使用者向其好友傳送商業廣告、病毒連結、木馬網站連結，甚至可以利用該郵箱，獲取使用者更多的個人隱私。

 

4、真實情況洩露。這主要指的是網民的一些真實生活情況會被網上洩露，典型的如“虐貓女”、“銅須門”、“最牛小三”、“北師大美女副總裁”事件等。發生洩露之後，人們的正常生活會遭到嚴重影響。

 

5、病毒和掛馬網站。使用者的郵件賬號、QQ號、MSN賬號洩露後，經常會收到木馬網站連結、釣魚網站連結等。如果不做好防備，很容易中毒。

 

上述這些洩密問題，往往存在於部落格、社交網站、論壇上，而社交網站由於兼具部落格和論壇功能，其危險性更是不容低估。

第二節 社交網站的七種安全風險

 

作為目前火熱的社交網站，其中的領先者通常有數千萬註冊使用者。據業內人士估計，排行前列的社交網站，一般會在北京擁有使用者300萬以上，上海300萬以上，廣州200萬以上。根據其經營策略的不同，人群分佈會有不同，比如有的側重於白領、有的側重於學生等等。如此巨大的使用者群體，一旦發生個人隱私洩露，其危害不容低估。

 

在流行的社交網站中，要求使用者填寫的個人資料包括：性別、年齡、教育程度、工作情況、婚姻情況、真實照片、手機號碼等。如果使用者要使用網站的交友功能、遊戲功能，通常還要提供更多的資訊，包括：MSN賬號密碼、QQ帳號密碼、Outlook郵箱通訊錄。可以說，如果網民將這些資訊全部填寫完畢，那就幾乎沒有任何隱私可言。

 

而且，根據瑞星的調查分析，通過“查詢朋友”、“遊戲邀請”等方式引誘使用者填寫隱私資料、對其好友進行頻繁騷擾，並不是某個網站的單獨行為，而已經成為很多SNS藉以吸引使用者的重要手段，幾乎所有網站都在採用，幾乎成為社交網站最為重要的“潛規則”。而正是這些潛規則，對使用者的安全構成了嚴重威脅。

 

經過本報告撰寫團隊的仔細分析，目前國內社交網站在使用者的個人隱私保護方面，存在七種主要的安全風險:：

 

第一、利用引誘、誤導等方式，鼓勵使用者填寫MSN和QQ的賬號、密碼。

 

例如，在新使用者註冊某網站的時候，彈出的註冊介面就是“你的MSN賬號”、“你的MSN密碼”，讓人誤以為只能用MSN賬號和密碼來登陸該網站。實際上，你可以任意填寫可用的郵箱帳號，任意填寫密碼即可登陸。

 

在註冊登陸之後，網站還會在很多環節要求使用者提供MSN賬號密碼。例如，在“查詢好友”功能、“爭車位”遊戲、“買房子”遊戲中，都會不斷出現對話視窗，要求使用者填寫自己的MSN帳號和密碼。

目前，包括MSN帳號密碼、QQ帳號密碼等資訊填寫與否，已經成為衡量社交網站註冊使用者質量的重要因素，因此這些網站都在不惜一切手段鼓勵使用者填寫真實資料。

 

在幾年前，一個名為“中國緣”的網站就曾經大規模利用使用者填寫的MSN賬號和密碼傳送可疑程式、商業廣告等，從事流氓行為。根據瑞星檢測，目前絕大多數社交網站還僅僅是收集使用者的MSN賬號，並沒有像“中國緣”那樣進行大規模的流氓利用。但是，其中蘊含的隱私洩露風險是不言而喻的。

 

第二、通過遊戲積分獎勵、優先享受新功能等方式，鼓勵使用者填寫自己的真實情況。

 

無論風險投資人（VC）還是行業分析專家，對於社交網站註冊使用者的衡量標準，就是其使用者的真實程度如何。使用者填寫的個人資料越詳細，就越有商業價值。因此，所有的社交網站都在鼓勵使用者填寫真實資料。但提供的安全保護卻並不充足。

 

例如，在某網站註冊使用者的時候，會要求使用者上傳真實頭像，旁邊的註釋寫著：上傳真實頭像的好處，無限容量郵箱，更多的遊戲獎勵……等等。同樣，很多社交網站採取邀請朋友註冊送積分、送更大的部落格空間等方式，引誘使用者把自己的郵箱密碼、通訊錄等私密資料交給網站。

 

儘管在這些網站有提醒：完成此功能後請修改密碼，但很多安全意識不強的使用者會自動省略這一步驟，從而造成個人隱私洩露。這樣，為了更快的升級，更好的遊戲體驗，很多不瞭解安全風險的使用者，自然會選擇填寫真實資料。

 

下圖：幾乎所有社交網站都開通了多種邀請好友的方式，涉及Outlook通訊錄、MSN密碼、Foxmail通訊錄等三種個人隱私。

第三、鼓勵網民將網站帳戶與手機繫結，建立手機資訊庫，存在隱私洩露風險。

 

絕大多數SNS網站都帶有手機驗證、手機繫結、用手機取回密碼等功能，該功能的存在，雖然能夠方便使用者的使用，但很可能帶來隱私洩露的風險。尤其是有些中小SNS網站通過建立使用者的手機資訊庫，可以出售給商家，向使用者的手機大量傳送商業簡訊等。

 

此前，也曾經出現過由於網站倒閉而出售使用者資料庫；或者聘任有道德問題的員工，竊取公司的使用者資料庫；被黑客攻擊，盜取使用者資料庫等。一旦發生上述問題，就會出現使用者的手機號、郵箱、生日、銀行卡號等個人情況洩露，被出售、轉賣，被人利用來進行黑客攻擊、商業利益等。

 

 

第四，網站的隱私保護設計，完全以“方便”為立足點，漠視使用者的“安全風險”。

 

在所社交網站站（SNS）的架構設計、功能設計中，一開始就是完全以“方便使用者”、“吸引使用者註冊”為根本思想，漠視這些方便性的設計可能給使用者帶來的安全風險。例如，在某網站的“查詢好友”功能中，如果你填寫了MSN賬號和密碼，則你所有的MSN好友列表都會被儲存到伺服器上，當你的MSN好友再註冊某網站時，則你們會自動成為好友。

 

毋庸諱言，這種功能設計會給使用者帶來非常方便的體驗，而且加強了使用者的互動，有利於“黏住”使用者。但是，這個設計在安全上的風險也是顯而易見的。例如，如果你在淘寶上出售東西，為了方便聯絡把其加為MSN好友。當兩個人同時在開心網註冊時，則你們會自動成為好友。

 

而且，某網站預設的隱私保護級別是：兩個好友可以相互瀏覽對方的私密資訊，如手機號、家庭住址、婚姻情況、教育情況等私人資訊都可以被看到。如果你採用預設設定，你的資訊就會被這個“陌生人”看到，產生不可測的安全風險。

 

 

第五，網站使用大量ajax技術，很容易產生XSS和CSRF攻擊，使使用者電腦中毒，網銀賬戶失竊等。

 

社交（SNS）網站容易遭到的病毒類安全風險主要有兩類：一類是因為採用ajax技術而導致的蠕蟲攻擊，如Myspace、國內的51.com、校內網都曾經出現過各自的網內蠕蟲，這些蠕蟲通過利用個人空間、模板上的bug，可以自動向使用者的好友傳送帶毒連結，使用者瀏覽後就會中毒。

 

另外一類是由於SNS網站對cookie的不恰當使用，而導致黑客可以輕易發動CSRF攻擊。所謂CSRF攻擊，指的是Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。

 

例如，有的SNS網站為了讓使用者經常登陸，利用一個永久有效的Cookie，讓使用者永久保持在登陸狀態。這樣，使用者只要輸入網站的網址，不用填寫自己的賬號和密碼，就可以登陸，使用SNS網站的各種功能。只要黑客拿到機器上儲存的這個Cookie，就可以以使用者的身份做任何事情。

 

這只是CSRF攻擊最簡單的利用，更復雜的利用包括：如果使用者登入到網銀賬號，則黑客可以通過成功的CSRF攻擊，從使用者的帳號裡轉走錢財。或者，在後臺“幫使用者購買並不需要的商品”。

 

 

第六、頻繁騷擾註冊使用者的聯絡人，誘騙其註冊自己的網站，併傳送商業廣告。

 

大多數交友網站（SNS）社交網站使用者MSN賬號、郵件帳號密碼、手機號碼等資料之後，會對其進行大規模的商業利用。最為常見的方式，就是向使用者的MSN好友傳送商業廣告，或者向使用者foxmail通訊錄中的郵件地址傳送邀請註冊信件。尤其是一些網站，會傳送帶有曖昧的字眼的郵件，通過利用使用者的好奇心理，吸引他們註冊，騙取其手機號、MSN賬號等私人資訊。

 

典型案例：“我從來沒有去過任何交友網站，也不愛玩這個，今天突然收到一朋友的電子郵件寫著《我想跟你明確關係》，點郵件裡的連結後出現一個頁面，直接要求我填寫MSN賬號和密碼，這是怎麼回事啊？是病毒嗎？”北京網民張先生向瑞星客戶服務中心的工程師詢問。根據瑞星安全工程師查證，這可能是一起的社交網站騙取使用者個人隱私資訊的行為。

 

（張先生收到的郵件）

 

（該網站直接要求張先生提供MSN密碼）

 

 

前一段時間，一個名為“熱血三國”的遊戲，由於向MSN使用者大規模傳送商業連結，被多家媒體廣泛關注。有的使用者以為自己中毒才受這些垃圾資訊的騷擾，而實際上，這是使用者的MSN賬號洩露後，那些廣告廠商利用MSN機器人主動傳送的商業資訊。

 

第七、使用者在遊戲、交流的過程中很容易洩露自己的真實情況，可能給人肉搜尋、黑客詐騙帶來方便。

 

對於使用者來講，交友網站是個真實的社交網站場所，而在論壇發貼、發表部落格的同時，很容易洩露自己的隱私、個人情況。一旦被人惡意利用，則會出現不可預料的後果。例如，曾經鬧得沸沸揚揚的“史上最牛小三”、“銅須門”等事件，就讓當事人陷入非常尷尬的地步。

 

尤其是國內流行的“人肉搜尋”，目前主要搜尋的領域還是先有論壇、部落格等。如果將來擴充套件到對交友網站的利用，則社交網站隱私的安全按威脅，也將比現在擴大許多倍，更會讓普通使用者面臨毫無隱私的地步。而這些隱私如果被黑客利用，則其詐騙成功率也會大大增加。

（淘寶網上出售的賬號，如果被黑客購買，那賬號好友的隱私，則處於不設防狀態）

 

    交友網站通過“免責宣告”規避法律責任

 

事實上，絕大多數交友網站已經意識到社交網站提到的安全風險，他們通過各種“免責宣告”、“使用者註冊須知”等方式，對自己的法律責任進行了規避。

 

例如，某網站的註冊幫助中寫到“本公司對直接、間接、偶然、特殊及繼起的損害不負責任，這些損害來自:不正當使用產品服務，在網上購買商品或類似服務，在網上進行交易，非法使用服務或使用者傳送的資訊有所變動。”

 

又比如，某網站的隱私保護中寫到“使用者須明白，在使用我們提供的服務存在有來自任何他人的包括威脅性的、誹謗性的、令人反感的或非法的內容或行為或對他人權利的侵犯（包括智慧財產權）的匿名或冒名的資訊的風險，使用者須承擔以上風險，**網和合作公司對服務不作任何型別的擔保”

 

通過類似的條款，那些交友網站撇除了自己社交網站的責任。