【51CTO.com 綜合消息】本報告主要內(nèi)容來自瑞星客戶服務(wù)中心和瑞星互聯(lián)網(wǎng)攻防實驗室的調(diào)查和研究成果，部分數(shù)據(jù)來自來自瑞星“云安全”系統(tǒng)，僅針對網(wǎng)民在使用國內(nèi)社交網(wǎng)站（SNS）的過程中，可能遇到的個人隱私安全問題，做出的調(diào)查、統(tǒng)計、分析和建議。

本報告提供給網(wǎng)民、媒體、政府和行業(yè)管理機構(gòu)等有關(guān)方面，作為互聯(lián)網(wǎng)信息安全狀況的介紹和研究資料，以及對用戶的安全警告和建議。如若本報告闡述之狀況、數(shù)據(jù)與其它機構(gòu)研究結(jié)果有差異，請讀者自行辨別。本報告所提及案例和人物，均以公證，請相關(guān)機構(gòu)在引用時請保持事件描述和資料的完整性，否則瑞星公司不承擔(dān)與此相關(guān)的一切法律責(zé)任。

目錄：
 
報告概要：用戶隱私面臨巨大威脅 社交網(wǎng)站成泄密主要途徑
 
第一節(jié)、社交網(wǎng)站成主要泄密渠道
 
第二節(jié)、社交網(wǎng)站的七種安全風(fēng)險
 
報告概要：用戶隱私面臨巨大威脅 社交網(wǎng)站成泄密主要途徑

瑞星研究統(tǒng)計團隊掌握的數(shù)據(jù)表明，目前中國網(wǎng)民的個人隱私①泄露情況已經(jīng)達到了相當嚴重的程度，而造成這種情況的主要原因，已經(jīng)從“木馬病毒竊取”逐步轉(zhuǎn)變?yōu)椤坝薪M織、大規(guī)模的進行商業(yè)收集利用”，而社交網(wǎng)站更成為誘導(dǎo)網(wǎng)民泄露隱私、記錄隱私、利用網(wǎng)民隱私牟利的巨大商業(yè)集團。

（注1：本報告所指的個人隱私，主要包括手機號、郵件賬號密碼、MSN賬號密碼、QQ賬號密碼、婚姻情況、教育情況、年齡、性別、身體健康情況等。網(wǎng)銀賬號、網(wǎng)游帳號、證券賬號等個人虛擬財產(chǎn)等不包括在內(nèi)。）

本團隊對國內(nèi)上百個社交網(wǎng)站的分析研究后發(fā)現(xiàn)，這些網(wǎng)站從設(shè)計伊始就把“商業(yè)利益”放在了“安全原則”之前，他們誘導(dǎo)用戶填寫自己的真實資料，利用記錄的MSN賬號密碼和郵箱密碼，頻繁騷擾注冊用戶的郵箱聯(lián)系人、MSN好友；通過網(wǎng)站注冊時的“免責(zé)聲明”來免除自己的法律責(zé)任，讓用戶承擔(dān)全部的安全風(fēng)險。他們使用的種種商業(yè)手段，讓用戶防不勝防。

傳統(tǒng)上，用戶的手機號、郵箱賬號等個人資料，通常是木馬病毒、惡意程序在網(wǎng)絡(luò)上自動收集。這些程序都是黑客個人控制，其影響范圍較小、對用戶的威脅并不太大。而現(xiàn)在的社交網(wǎng)站借助歐美國家成熟的商業(yè)模式、心理誘導(dǎo)手段，利用流量巨大的商業(yè)網(wǎng)站來進行網(wǎng)民個人隱私資料的收集，其商業(yè)效率已經(jīng)達到了十分恐怖的程度。

由于過去黑客經(jīng)常利用木馬病毒竊取用戶資料、發(fā)送商業(yè)廣告，使得現(xiàn)在很多用戶一旦發(fā)現(xiàn)自己的資料泄露，往往會歸咎于黑客、木馬。例如，2009年3月，被文化部處罰的“熱血三國”游戲就曾經(jīng)盜用用戶的MSN賬號，向其好友發(fā)送商業(yè)廣告。出現(xiàn)這種問題時，網(wǎng)民經(jīng)常會埋怨殺毒軟件不管用，以為自己的電腦里有木馬殺不掉。實際上他的電腦是完全正常的，只是那些商家在盜用用戶的MSN賬戶。

據(jù)國外媒體報道，目前包括Myspace賬號、Facebook賬號等國外社交網(wǎng)站的資料，都可以在黑市上買到，單個賬戶的價格根據(jù)活躍等級、完善程度從幾美分到幾美元不等。從瑞星的調(diào)查結(jié)果來看，國內(nèi)的開心網(wǎng)、海內(nèi)網(wǎng)等社交網(wǎng)站的賬號，尚未發(fā)現(xiàn)被黑客大規(guī)模出售的跡象。但很多網(wǎng)上出售的網(wǎng)民個人資料，包括手機號大全、身份證打包出售等，很可能是通過社交網(wǎng)站外泄的。

業(yè)內(nèi)人士估計，目前TOP5的社交網(wǎng)站，可以覆蓋北京、上海95%以上的年輕網(wǎng)民，廣州80%以上的年輕網(wǎng)民。在報告的撰寫過程中，我們使用一個帶有30名好友的MSN賬號注冊某社交網(wǎng)站，登陸后發(fā)現(xiàn)有16人把自己的MSN好友列表儲存在該網(wǎng)站的服務(wù)器上。類似情況，在各大社交網(wǎng)站都有出現(xiàn)，十分讓人震驚。

調(diào)查結(jié)果顯示，社交網(wǎng)站存在的七種主要安全風(fēng)險包括：

1、利用引誘、誤導(dǎo)等方式，鼓勵用戶填寫MSN和QQ的賬號、密碼。
2、通過游戲積分獎勵、優(yōu)先享受新功能等方式，鼓勵用戶填寫自己的真實情況。網(wǎng)站提供的安全保護，卻存在很多問題。
3、鼓勵網(wǎng)民將網(wǎng)站帳戶與手機綁定，建立手機信息庫，存在隱私泄露風(fēng)險。
4、網(wǎng)站的隱私保護設(shè)計，完全以“方便”為立足點，漠視用戶的“安全風(fēng)險”。
5、網(wǎng)站使用大量ajax技術(shù)，很容易產(chǎn)生XSS和CSRF攻擊，使用戶電腦中毒，網(wǎng)銀賬戶失竊等。
6、頻繁騷擾注冊用戶的聯(lián)系人，誘騙其注冊自己的網(wǎng)站，甚至直接騙取隱私信息，并頻繁發(fā)送廣告。
7、用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給黑客詐騙帶來方便。

針對上述問題，瑞星安全專家建議：

1、在社交網(wǎng)站填寫任何個人資料之前，都要了解到其中蘊含的風(fēng)險。盡量不要在社交網(wǎng)站填寫過于詳細的個人資料
2、不要隨意通過陌生人的MSN好友請求、SNS網(wǎng)站的好友請求
3、把自己的SNS資料設(shè)為最高安全等級
 
第一節(jié) 社交網(wǎng)站成主要泄露渠道

在傳統(tǒng)上，人們往往認為木馬病毒會竊取QQ號、郵箱地址，后門程序可以讓黑客偷窺你電腦上的手機號、通訊錄，從而把“隱私泄露”的責(zé)任全部歸因于“電腦中毒、電腦中了木馬”等技術(shù)因素。

其實現(xiàn)在的情況已經(jīng)有了很大改變，社交網(wǎng)站的隱私泄露、用戶個人的安全意識不強等非技術(shù)性的因素，已經(jīng)成為收集、利用網(wǎng)民隱私的重要原因。而那些木馬、病毒、后門程序則成為他們收集網(wǎng)民隱私的輔助工具，而不再是主要因素。

通過社交網(wǎng)站，商業(yè)公司不但可以收集用戶的手機號、MSN賬號等普通信息，還可以通過分析網(wǎng)民發(fā)布的博客、帖子、同學(xué)群體等，推測出用戶的消費傾向（節(jié)儉還是奢侈）、個人婚姻情況（單身還是離婚）、工作情況（是否有跳槽的意向）等十分隱私的信息。

用戶經(jīng)常遇到的泄密問題包括：

1、手機號泄露。手機號泄露之后，很多人會頻繁接到各種廣告短信，推銷發(fā)票、槍支、性用品等非法物品；有人會接到各種詐騙電話，近來熱門的“中獎電話”、“退稅詐騙電話”等，起因往往就是由于用戶的手機號泄露。

2、MSN賬號密碼泄露（QQ帳號密碼）。MSN和QQ作為人們?nèi)粘?yīng)用的網(wǎng)絡(luò)通訊工具，一旦泄露會帶來很多麻煩。比如，黑客會編寫機器人程序，利用收集到的MSN賬號密碼登陸，然后向其好友發(fā)送垃圾消息、商業(yè)廣告等。

3、郵件賬號泄露（Outlook通訊錄、Foxmail通訊錄泄露）。黑客會使用收集到的郵箱帳號密碼登陸，冒充用戶向其好友發(fā)送商業(yè)廣告、病毒鏈接、木馬網(wǎng)站鏈接，甚至可以利用該郵箱，獲取用戶更多的個人隱私。

4、真實情況泄露。這主要指的是網(wǎng)民的一些真實生活情況會被網(wǎng)上泄露，典型的如“虐貓女”、“銅須門”、“最牛小三”、“北師大美女副總裁”事件等。發(fā)生泄露之后，人們的正常生活會遭到嚴重影響。

5、病毒和掛馬網(wǎng)站。用戶的郵件賬號、QQ號、MSN賬號泄露后，經(jīng)常會收到木馬網(wǎng)站鏈接、釣魚網(wǎng)站鏈接等。如果不做好防備，很容易中毒。

上述這些泄密問題，往往存在于博客、社交網(wǎng)站、論壇上，而社交網(wǎng)站由于兼具博客和論壇功能，其危險性更是不容低估。
 
第二節(jié) 社交網(wǎng)站的七種安全風(fēng)險

作為目前火熱的社交網(wǎng)站，其中的領(lǐng)先者通常有數(shù)千萬注冊用戶。據(jù)業(yè)內(nèi)人士估計，排行前列的社交網(wǎng)站，一般會在北京擁有用戶300萬以上，上海300萬以上，廣州200萬以上。根據(jù)其經(jīng)營策略的不同，人群分布會有不同，比如有的側(cè)重于白領(lǐng)、有的側(cè)重于學(xué)生等等。如此巨大的用戶群體，一旦發(fā)生個人隱私泄露，其危害不容低估。

在流行的社交網(wǎng)站中，要求用戶填寫的個人資料包括：性別、年齡、教育程度、工作情況、婚姻情況、真實照片、手機號碼等。如果用戶要使用網(wǎng)站的交友功能、游戲功能，通常還要提供更多的信息，包括：MSN賬號密碼、QQ帳號密碼、Outlook郵箱通訊錄。可以說，如果網(wǎng)民將這些信息全部填寫完畢，那就幾乎沒有任何隱私可言。

而且，根據(jù)瑞星的調(diào)查分析，通過“查找朋友”、“游戲邀請”等方式引誘用戶填寫隱私資料、對其好友進行頻繁騷擾，并不是某個網(wǎng)站的單獨行為，而已經(jīng)成為很多SNS借以吸引用戶的重要手段，幾乎所有網(wǎng)站都在采用，幾乎成為社交網(wǎng)站最為重要的“潛規(guī)則”。而正是這些潛規(guī)則，對用戶的安全構(gòu)成了嚴重威脅。

經(jīng)過本報告撰寫團隊的仔細分析，目前國內(nèi)社交網(wǎng)站在用戶的個人隱私保護方面，存在七種主要的安全風(fēng)險:：

第一、利用引誘、誤導(dǎo)等方式，鼓勵用戶填寫MSN和QQ的賬號、密碼。

例如，在新用戶注冊某網(wǎng)站的時候，彈出的注冊界面就是“你的MSN賬號”、“你的MSN密碼”，讓人誤以為只能用MSN賬號和密碼來登陸該網(wǎng)站。實際上，你可以任意填寫可用的郵箱帳號，任意填寫密碼即可登陸。
 

在注冊登陸之后，網(wǎng)站還會在很多環(huán)節(jié)要求用戶提供MSN賬號密碼。例如，在“查找好友”功能、“爭車位”游戲、“買房子”游戲中，都會不斷出現(xiàn)對話窗口，要求用戶填寫自己的MSN帳號和密碼。
 
目前，包括MSN帳號密碼、QQ帳號密碼等信息填寫與否，已經(jīng)成為衡量社交網(wǎng)站注冊用戶質(zhì)量的重要因素，因此這些網(wǎng)站都在不惜一切手段鼓勵用戶填寫真實資料。

在幾年前，一個名為“中國緣”的網(wǎng)站就曾經(jīng)大規(guī)模利用用戶填寫的MSN賬號和密碼發(fā)送可疑程序、商業(yè)廣告等，從事流氓行為。根據(jù)瑞星檢測，目前絕大多數(shù)社交網(wǎng)站還僅僅是收集用戶的MSN賬號，并沒有像“中國緣”那樣進行大規(guī)模的流氓利用。但是，其中蘊含的隱私泄露風(fēng)險是不言而喻的。

第二、通過游戲積分獎勵、優(yōu)先享受新功能等方式，鼓勵用戶填寫自己的真實情況。

無論風(fēng)險投資人（VC）還是行業(yè)分析專家，對于社交網(wǎng)站注冊用戶的衡量標準，就是其用戶的真實程度如何。用戶填寫的個人資料越詳細，就越有商業(yè)價值。因此，所有的社交網(wǎng)站都在鼓勵用戶填寫真實資料。但提供的安全保護卻并不充足。

例如，在某網(wǎng)站注冊用戶的時候，會要求用戶上傳真實頭像，旁邊的注釋寫著：上傳真實頭像的好處，無限容量郵箱，更多的游戲獎勵……等等。同樣，很多社交網(wǎng)站采取邀請朋友注冊送積分、送更大的博客空間等方式，引誘用戶把自己的郵箱密碼、通訊錄等私密資料交給網(wǎng)站。

盡管在這些網(wǎng)站有提醒：完成此功能后請修改密碼，但很多安全意識不強的用戶會自動省略這一步驟，從而造成個人隱私泄露。這樣，為了更快的升級，更好的游戲體驗，很多不了解安全風(fēng)險的用戶，自然會選擇填寫真實資料。

下圖：幾乎所有社交網(wǎng)站都開通了多種邀請好友的方式，涉及Outlook通訊錄、MSN密碼、Foxmail通訊錄等三種個人隱私。
 
 
第三、鼓勵網(wǎng)民將網(wǎng)站帳戶與手機綁定，建立手機信息庫，存在隱私泄露風(fēng)險。

絕大多數(shù)SNS網(wǎng)站都帶有手機驗證、手機綁定、用手機取回密碼等功能，該功能的存在，雖然能夠方便用戶的使用，但很可能帶來隱私泄露的風(fēng)險。尤其是有些中小SNS網(wǎng)站通過建立用戶的手機信息庫，可以出售給商家，向用戶的手機大量發(fā)送商業(yè)短信等。

此前，也曾經(jīng)出現(xiàn)過由于網(wǎng)站倒閉而出售用戶數(shù)據(jù)庫；或者聘任有道德問題的員工，竊取公司的用戶數(shù)據(jù)庫；被黑客攻擊，盜取用戶數(shù)據(jù)庫等。一旦發(fā)生上述問題，就會出現(xiàn)用戶的手機號、郵箱、生日、銀行卡號等個人情況泄露，被出售、轉(zhuǎn)賣，被人利用來進行黑客攻擊、商業(yè)利益等。

第四，網(wǎng)站的隱私保護設(shè)計，完全以“方便”為立足點，漠視用戶的“安全風(fēng)險”。

在所社交網(wǎng)站站（SNS）的架構(gòu)設(shè)計、功能設(shè)計中，一開始就是完全以“方便用戶”、“吸引用戶注冊”為根本思想，漠視這些方便性的設(shè)計可能給用戶帶來的安全風(fēng)險。例如，在某網(wǎng)站的“查找好友”功能中，如果你填寫了MSN賬號和密碼，則你所有的MSN好友列表都會被保存到服務(wù)器上，當你的MSN好友再注冊某網(wǎng)站時，則你們會自動成為好友。

毋庸諱言，這種功能設(shè)計會給用戶帶來非常方便的體驗，而且加強了用戶的互動，有利于“黏住”用戶。但是，這個設(shè)計在安全上的風(fēng)險也是顯而易見的。例如，如果你在淘寶上出售東西，為了方便聯(lián)系把其加為MSN好友。當兩個人同時在開心網(wǎng)注冊時，則你們會自動成為好友。

而且，某網(wǎng)站默認的隱私保護級別是：兩個好友可以相互瀏覽對方的私密信息，如手機號、家庭住址、婚姻情況、教育情況等私人信息都可以被看到。如果你采用默認設(shè)置，你的信息就會被這個“陌生人”看到，產(chǎn)生不可測的安全風(fēng)險。

第五，網(wǎng)站使用大量ajax技術(shù)，很容易產(chǎn)生XSS和CSRF攻擊，使用戶電腦中毒，網(wǎng)銀賬戶失竊等。

社交（SNS）網(wǎng)站容易遭到的病毒類安全風(fēng)險主要有兩類：一類是因為采用ajax技術(shù)而導(dǎo)致的蠕蟲攻擊，如Myspace、國內(nèi)的51.com、校內(nèi)網(wǎng)都曾經(jīng)出現(xiàn)過各自的網(wǎng)內(nèi)蠕蟲，這些蠕蟲通過利用個人空間、模板上的bug，可以自動向用戶的好友發(fā)送帶毒鏈接，用戶瀏覽后就會中毒。

另外一類是由于SNS網(wǎng)站對cookie的不恰當使用，而導(dǎo)致黑客可以輕易發(fā)動CSRF攻擊。所謂CSRF攻擊，指的是Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding，通常縮寫為CSRF或者XSRF，是一種對網(wǎng)站的惡意利用。

例如，有的SNS網(wǎng)站為了讓用戶經(jīng)常登陸，利用一個永久有效的Cookie，讓用戶永久保持在登陸狀態(tài)。這樣，用戶只要輸入網(wǎng)站的網(wǎng)址，不用填寫自己的賬號和密碼，就可以登陸，使用SNS網(wǎng)站的各種功能。只要黑客拿到機器上儲存的這個Cookie，就可以以用戶的身份做任何事情。

這只是CSRF攻擊最簡單的利用，更復(fù)雜的利用包括：如果用戶登錄到網(wǎng)銀賬號，則黑客可以通過成功的CSRF攻擊，從用戶的帳號里轉(zhuǎn)走錢財。或者，在后臺“幫用戶購買并不需要的商品”。

第六、頻繁騷擾注冊用戶的聯(lián)系人，誘騙其注冊自己的網(wǎng)站，并發(fā)送商業(yè)廣告。

大多數(shù)交友網(wǎng)站（SNS）社交網(wǎng)站用戶MSN賬號、郵件帳號密碼、手機號碼等資料之后，會對其進行大規(guī)模的商業(yè)利用。最為常見的方式，就是向用戶的MSN好友發(fā)送商業(yè)廣告，或者向用戶foxmail通訊錄中的郵件地址發(fā)送邀請注冊信件。尤其是一些網(wǎng)站，會發(fā)送帶有曖昧的字眼的郵件，通過利用用戶的好奇心理，吸引他們注冊，騙取其手機號、MSN賬號等私人信息。

典型案例：“我從來沒有去過任何交友網(wǎng)站，也不愛玩這個，今天突然收到一朋友的電子郵件寫著《我想跟你明確關(guān)系》，點郵件里的鏈接后出現(xiàn)一個頁面，直接要求我填寫MSN賬號和密碼，這是怎么回事啊？是病毒嗎？”北京網(wǎng)民張先生向瑞星客戶服務(wù)中心的工程師詢問。根據(jù)瑞星安全工程師查證，這可能是一起的社交網(wǎng)站騙取用戶個人隱私信息的行為。

圖1

 （張先生收到的郵件）

圖2

 （該網(wǎng)站直接要求張先生提供MSN密碼）

 
前一段時間，一個名為“熱血三國”的游戲，由于向MSN用戶大規(guī)模發(fā)送商業(yè)鏈接，被多家媒體廣泛關(guān)注。有的用戶以為自己中毒才受這些垃圾信息的騷擾，而實際上，這是用戶的MSN賬號泄露后，那些廣告廠商利用MSN機器人主動發(fā)送的商業(yè)信息。

第七、用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給人肉搜索、黑客詐騙帶來方便。

對于用戶來講，交友網(wǎng)站是個真實的社交網(wǎng)站場所，而在論壇發(fā)貼、發(fā)表博客的同時，很容易泄露自己的隱私、個人情況。一旦被人惡意利用，則會出現(xiàn)不可預(yù)料的后果。例如，曾經(jīng)鬧得沸沸揚揚的“史上最牛小三”、“銅須門”等事件，就讓當事人陷入非常尷尬的地步。

尤其是國內(nèi)流行的“人肉搜索”，目前主要搜索的領(lǐng)域還是先有論壇、博客等。如果將來擴展到對交友網(wǎng)站的利用，則社交網(wǎng)站隱私的安全按威脅，也將比現(xiàn)在擴大許多倍，更會讓普通用戶面臨毫無隱私的地步。而這些隱私如果被黑客利用，則其詐騙成功率也會大大增加。

圖3

（淘寶網(wǎng)上出售的賬號，如果被黑客購買，那賬號好友的隱私，則處于不設(shè)防狀態(tài)）

交友網(wǎng)站通過“免責(zé)聲明”規(guī)避法律責(zé)任

事實上，絕大多數(shù)交友網(wǎng)站已經(jīng)意識到社交網(wǎng)站提到的安全風(fēng)險，他們通過各種“免責(zé)聲明”、“用戶注冊須知”等方式，對自己的法律責(zé)任進行了規(guī)避。

例如，某網(wǎng)站的注冊幫助中寫到“本公司對直接、間接、偶然、特殊及繼起的損害不負責(zé)任，這些損害來自:不正當使用產(chǎn)品服務(wù)，在網(wǎng)上購買商品或類似服務(wù)，在網(wǎng)上進行交易，非法使用服務(wù)或用戶傳送的信息有所變動。”

又比如，某網(wǎng)站的隱私保護中寫到“用戶須明白，在使用我們提供的服務(wù)存在有來自任何他人的包括威脅性的、誹謗性的、令人反感的或非法的內(nèi)容或行為或?qū)λ藱?quán)利的侵犯（包括知識產(chǎn)權(quán)）的匿名或冒名的信息的風(fēng)險，用戶須承擔(dān)以上風(fēng)險，**網(wǎng)和合作公司對服務(wù)不作任何類型的擔(dān)保”

通過類似的條款，那些交友網(wǎng)站撇除了自己社交網(wǎng)站的責(zé)任。