小规模窃取转向商业收集 社交网站安全问题严峻

　　网民在社交网站注册个人资料之后，很容易遭遇手机号泄露、MSN和邮箱账号密码被盗用等七大安全风险，而利用各种方式骗取网民个人资料用以牟利，已经成为社交网站利润的重要来源。3月30日，瑞星公司在其“网民隐私与社交网站安全报告”中，向用户发出安全警告。

　　瑞星互联网攻防实验室统计研究表明，目前国内网民的个人隐私泄露情况已经达到了相当严重的程度，而造成这种情况的主要原因，已经从“木马病毒小规模窃取”逐步转变为商业公司有目的的收集，这些商业公司诱导网民泄露隐私，然后记录用户隐私并牟利，而一些社交网站则表现得尤为突出。

　　2006年9月，一个叫“中国缘”的流氓网站被媒体曝光，从此开启了“社交网站流氓式发展” 的序幕。此后，多个流氓社交网站陆续被媒体曝光。最近的一个案例是，2009年3月，网游“热血三国”因为采用流氓式推广被文化部查处。要进行这些流氓式推广，厂商首先要获取用户的MSN账号、邮箱等私人信息，而社交网站正充当了这个“个人信息提供商”的角色。时至今日搜索关键字“中国缘、流氓”，依然能找到数十万个相关消息和用户帖子。

　　根据瑞星安全人员的分析，目前社交网站存在的七种主要安全风险包括：利用引诱、误导等方式，鼓励用户填写MSN和QQ的账号、密码;通过游戏积分奖励、优先享受新功能等方式，鼓励用户填写自己的真实情况。网站提供的安全保护，却存在很多问题;鼓励网民将网站账户与手机绑定，建立手机信息库，存在隐私泄露风险;网站的隐私保护设计，完全以方便为立足点，漠视用户的安全风险;网站使用大量ajax技术，很容易产生XSS和CSRF攻击，使用户电脑中毒、网银账户失窃等;频繁骚扰注册用户的MSN、邮件联系人，诱骗其注册自己的网站，甚至直接骗取隐私信息以及推送广告;用户在游戏、交流的过程中很容易泄露自己的真实情况，可能给黑客诈骗带来方便。

　　据业内人士估计，在大中型城市的15岁至30岁的网民中，有95%以上会注册一个或几个社交网站，所以其带来的安全风险、个人隐私风险十分严重。在瑞星公司的测试中，用一个拥有30名好友的MSN账号注册某社交网站，登录后发现，好友中的16人填写了自己的MSN账号密码，把好友列表存储在该网站的服务器上。这些隐私信息一旦泄露，后果不堪设想。

　　据国外媒体报道，目前包括myspace账号、facebook账号等国外社交网站的资料，都可以在黑市上买到，单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。根据调查，欧盟成员国54%的家长因此担心自己的孩子遭受网络暴力。在欧盟委员会的协调下，包括Youtube、雅虎(欧洲)、MSN、Myspace和Face-book在内的17家社交网站近日在卢森堡签署保护欧盟未成年人的协议。除了网民提高自我防范意识之外，瑞星安全专家建议，鉴于目前个人隐私保护不利的情况，国家相关部门应该出台针对性的法律、规章，通过法律途径或者是行业规范对利用个人隐私牟利的企业行为进行查处。同时，社交网站行业应该主动进行行业自律，不能只看到侵害用户隐私带来的短期利益，而要维护行业长期的健康发展。