瑞星网民隐私报告揭社交网站七大安全风险

  • 时间:
  • 浏览:5

  [导读]瑞星指出,明星微博 在社交网站注册当时人资料如果,很容易遭遇手机号泄露、MSN和邮箱帐号密码被盗用等七大安全风险,而利用各种土办法 骗取明星微博 当时人资料用以牟利,就是我成缘何交网站利润的重要来源

  社交网站成主要泄露渠道

  在传统上,朋友往往认为木马病毒会窃取QQ号、邮箱地址,后门多多tcp连接 都时要让黑客偷窥你电脑上的手机号、通讯录,从而把“隐私泄露”的责任全部归因于“电脑中毒、电脑中了木马”等技术因素。

  确实现在的情况就是我有了很大改变,社交网站的隐私泄露、用户当时人的安全意识不强等非技术性的因素,就是我成为采集、利用明星微博 隐私的重要导致 。而那先 木马、病毒、后门多多tcp连接 则成为朋友采集明星微博 隐私的辅助工具,而不再是主要因素。

  通过社交网站,商业公司不但都时要采集用户的手机号、MSN账号等普通信息,还都时要通过分析明星微博 发布的博客、帖子、同学群体等,推测出用户的消费倾向(节俭还是奢侈)、当时人感情的句子的说说情况(单身还是离婚)、工作情况(是是否跳槽的意向)等十分隐私的信息。

  用户一个劲遇到的泄密间题包括:

  1、手机号泄露。手机号泄露如果,全都人会频繁接到各种广告短信,推销发票、枪支、性用品等非法物品;一群人会接到各种诈骗电话,近来热门的“中奖电话”、“退税诈骗电话”等,起因往往就是我就是我用户的手机号泄露。

  2、MSN账号密码泄露(QQ帐号密码)。MSN和QQ作为朋友日常应用的网络通讯工具,一旦泄露会带来全都麻烦。比如,黑客会编写机器人多多tcp连接 ,利用采集到的MSN账号密码登陆,就是我向其好友发送垃圾消息、商业广告等。

  3、邮件账号泄露(Outlook通讯录、Foxmail通讯录泄露)。黑客会使用采集到的邮箱帐号密码登陆,冒充用户向其好友发送商业广告、病毒链接、木马网站链接,甚至都时要利用该邮箱,获取用户更多的当时人隐私。

  4、真实情况泄露。这主要指的是明星微博 的有些真实生活情况会被网上泄露,典型的如“虐猫女”、“铜须门”、“最牛小三”、“北师大美女副总裁”事件等。居于泄露如果,朋友的正常生活会遭到严重影响。

  5、病毒和挂马网站。用户的邮件账号、QQ号、MSN账号泄露后,一个劲会收到木马网站链接、钓鱼网站链接等。就是我不做好防备,很容易中毒。

  上述那先 泄密间题,往往居于于博客、社交网站、论坛上,而社交网站就是我兼具博客和论坛功能,其危险性更是不容低估。

  社交网站的七种安全风险

  作为目前火热的社交网站,其中的领先者通常有数千万注册用户。据业内人士估计,排行前列的社交网站,一般会在北京拥有用户400万以上,上海400万以上,广州400万以上。根据其经营策略的不同,人群分布会有不同,比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体,一旦居于当时人隐私泄露,其危害不容低估。

  在流行的社交网站中,要求用户填写的当时人资料包括:性别、年龄、教育程度、工作情况、感情的句子的说说情况、真实照片、手机号码等。就是我用户要使用网站的交友功能、游戏功能,通常时要提供更多的信息,包括:MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。都时要说,就是我明星微博 将那先 信息全部填写完毕,那就几乎如此任何隐私可言。

  就是我,根据瑞星的调查分析,通过“查找朋友”、“游戏邀请”等土办法 引诱用户填写隐私资料、对其好友进行频繁骚扰,并都在某个网站的单独行为,而就是我成要怎样都SNS借以吸引用户的重要手段,几乎所有网站都在采用,几乎成缘何交网站最为重要的“潜规则”。而正是那先 潜规则,对用户的安全构成了严重威胁。

  经过本报告撰写团队的仔细分析,目前国内社交网站在用户的当时人隐私保护方面,居于七种主要的安全风险::

  第一、利用引诱、误导等土办法 ,鼓励用户填写MSN和QQ的账号、密码。

  例如 ,在新用户注册某网站的如果,弹出的注册界面就是我“你的MSN账号”、“你的MSN密码”,想要误以为必须用MSN账号和密码来登陆该网站。实际上,想要任意填写可用的邮箱帐号,任意填写密码即可登陆。

  在注册登陆如果,网站都在在全都环节要求用户提供MSN账号密码。例如 ,在“查找好友”功能、“争车位”游戏、“买房子”游戏中,都在不断一个劲一个劲出现对话窗口,要求用户填写当时人的MSN帐号和密码。

  目前,包括MSN帐号密码、QQ帐号密码等信息填写是否,就是我成为衡量社交网站注册用户质量的重要因素,就是我那先 网站都在不惜一切手段鼓励用户填写真实资料。

  在几年前,3个 名为“中国缘”的网站就那我大规模利用用户填写的MSN账号和密码发送可疑多多tcp连接 、商业广告等,从事流氓行为。根据瑞星检测,目前绝大多数社交网站还仅仅是采集用户的MSN账号,并如此像“中国缘”那样进行大规模的流氓利用。就是我,其含有有的隐私泄露风险是难能可贵的。

  第二、通过游戏积分奖励、优先享受新功能等土办法 ,鼓励用户填写当时人的真实情况。

  无论风险投资人(VC)还是行业分析专家,对于社交网站注册用户的衡量标准,就是我其用户的真实程度要怎样。用户填写的当时人资料越全部,就越有商业价值。就是我,所有的社交网站都在鼓励用户填写真实资料。但提供的安全保护却暂且丰厚。

  例如 ,在某网站注册用户的如果,会要求用户上传真实头像,旁边的注释写着:上传真实头像的好处,无限容量邮箱,更多的游戏奖励……等等。同样,全都社交网站采取邀请朋友注册送积分、送更大的博客空间等土办法 ,引诱用户把当时人的邮箱密码、通讯录等私密资料交给网站。

  尽管在那先 网站有提醒:完成此功能后请修改密码,但全都安全意识不强的用户会自动省略四种 步骤,从而造成当时人隐私泄露。那我,为了变快的升级,更好的游戏体验,全都不了解安全风险的用户,自然会选者填写真实资料。

  下图:几乎所有社交网站都开通了多种邀请好友的土办法 ,涉及Outlook通讯录、MSN密码、Foxmail通讯录等有四种 当时人隐私。

 

  第三、鼓励明星微博 将网站帐户与手机绑定,建立手机信息库,居于隐私泄露风险。

  绝大多数SNS网站都含有手机验证、手机绑定、用手机撤销密码等功能,该功能的居于,确实要能方便用户的使用,但很就是我带来隐私泄露的风险。尤其是有些中小SNS网站通过建立用户的手机信息库,都时要出售给商家,向用户的手机血块发送商业短信等。

  此前,也那我一个劲一个劲出现过就是我网站倒闭而出售用户数据库就是我聘任有道德间题的员工,窃取公司的用户数据库;被黑客攻击,盗取用户数据库等。一旦居于上述间题,就会一个劲一个劲出现用户的手机号、邮箱、生日、银行卡号等当时人情况泄露,被出售、转卖,被人利用来进行黑客攻击、商业利益等。

  第四、网站的隐私保护设计,全部以“方便”为立足点,漠视用户的“安全风险”。

  在所社交网站站(SNS)的采集、功能设计中,一现在如果刚开始就是我全部以“方便用户”、“吸引用户注册”为根本思想,漠视那先 方便性的设计就是我给用户带来的安全风险。例如 ,在某网站的“查找好友”功能中,就是我你填写了MSN账号和密码,则你所有的MSN好友列表都在被保存到服务器上,当你的MSN好友再注册某网站时,则朋友会自动成为好友。

  毋庸讳言,四种 功能设计会给用户带来非常方便的体验,就是我加强了用户的互动,有益于“黏住”用户。就是我,四种 设计在安全上的风险也是显而易见的。例如 ,就是我你在淘宝上出售东西,为了方便联系把其加为MSN好友。当3个 人同時 在开心网注册时,则朋友会自动成为好友。

  就是我,某网站默认的隐私保护级别是:3个 好友都时要相互浏览对方的私密信息,如手机号、家庭住址、感情的句子的说说情况、教育情况等私人信息都都时要被看得人。就是我你采用默认设置,你的信息就会被四种 “陌生人”看得人,产生不可测的安全风险。

  

  第五、网站使用血块ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。

  社交(SNS)网站容易遭到的病毒类安全风险主要有两类:一类是就是我采用ajax技术而导致 的蠕虫攻击,如Myspace、国内的51.com、校内网都那我一个劲一个劲出现过人个 的网内蠕虫,那先 蠕虫通过利用当时人空间、模板上的bug,都时要自动向用户的好友发送带毒链接,用户浏览后就会中毒。

  另外一类是就是我SNS网站对cookie的不恰当使用,而导致 黑客都时要轻易发动CSRF攻击。所谓CSRF攻击,指的是Cross-site request forgery跨站请求伪造,也被称成为“one click attack”就是我session riding,通常缩写为CSRF就是我XSRF,是有四种 对网站的恶意利用。

  例如 ,有的SNS网站为了让用户一个劲登陆,利用3个 永久有效的Cookie,让用户永久保持在登陆情况。那我,用户就是我输入网站的网址,不用填写当时人的账号和密码,就都时要登陆,使用SNS网站的各种功能。就是我黑客拿到机器上储存的四种 Cookie,就都时要以用户的身份做任何事情。

  这就是我CSRF攻击最简单的利用,更冗杂的利用包括:就是我用户登录到网银账号,则黑客都时要通过成功的CSRF攻击,从用户的帐号里转走钱财。就是我,在后台“帮用户购买暂且时要的商品”。

  第六、频繁骚扰注册用户的联系人,诱骗其注册当时人的网站,并发送商业广告。

  大多数交友网站(SNS)社交网站用户MSN账号、邮件帐号密码、手机号码等资料如果,会对其进行大规模的商业利用。最为常见的土办法 ,就是我向用户的MSN好友发送商业广告,就是我向用户foxmail通讯录中的邮件地址发送邀请注册信件。尤其是有些网站,会发送含有暧昧的字眼的邮件,通过利用用户的好奇心理,吸引朋友注册,骗取其手机号、MSN账号等私人信息。

  典型案例:“我从来如此去过任何交友网站,就是我爱玩四种 ,今天一个劲收到一朋友的电子邮件写着《我想跟你明确关系》,点邮件里的链接后一个劲一个劲出现3个 页面,直接要求我填写MSN账号和密码,这是缘何回事啊?是病毒吗?”北京明星微博 张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证,这就是我是同時 的社交网站骗取用户当时人隐私信息的行为。

  (张先生收到的邮件)

(该网站直接要求张先生提供MSN密码)

  前一段时间,3个 名为“热血三国”的游戏,就是我向MSN用户大规模发送商业链接,被多家媒体广泛关注。有的用户以为当时人中毒才受那先 垃圾信息的骚扰,而实际上,这是用户的MSN账号泄露后,那先 广告厂商利用MSN机器人主动发送的商业信息。

  第七、用户在游戏、交流的过程中很容易泄露当时人的真实情况,就是我给人肉搜索、黑客诈骗带来方便。

  对于用户来讲,交友网站是个真实的社交网站场所,而在论坛发贴、发表博客的同時 ,很容易泄露当时人的隐私、当时人情况。一旦被人恶意利用,则会一个劲一个劲出现不可预料的后果。例如 ,那我闹得沸沸扬扬的“史上最牛小三”、“铜须门”等事件,就是我当时人陷入非常尴尬的地步。

  尤其是国内流行的“人肉搜索”,目前主要搜索的领域还是先有论坛、博客等。就是我将来扩展到对交友网站的利用,则社交网站隐私的安全按威胁,也将比现在扩大有些倍,更会让普通用户面临毫无隐私的地步。而那先 隐私就是我被黑客利用,则其诈骗成功率也会大大增加。

  交友网站通过“免责声明”规避法律责任

  事实上,绝大多数交友网站就是我意识到社交网站提到的安全风险,朋友通过各种“免责声明”、“用户注册须知”等土办法 ,对当时人的法律责任进行了规避。

  例如 ,某网站的注册帮助中写到“本公司对直接、间接、偶然、特殊及继起的损害不负责任,那先 损害来自:不正当使用产品服务,在网上购买商品或例如 服务,在网上进行交易,非法使用服务或用户传送的信息有所变动。”

  又比如,某网站的隐私保护中写到“用户须明白,在使用朋友提供的服务居于有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯(包括知识产权)的匿名或冒名的信息的风险,用户须承担以上风险,**网和合作者者公司对服务不作任何类型的担保”

  通过例如 的条款,那先 交友网站撇除了当时人社交网站的责任。