报告称社交网站成用户隐私泄密主要途径

　　3月30日下午消息，瑞星今日发布《社交网站与网民隐私安全报告》称，目前中国网民的个人隐私泄露情况已经达到了相当严重的程度，造成这种情况的主要原因，已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”，而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。

　　瑞星研究统计团队掌握的数据表明，目前中国网民的个人隐私泄露情况已经达到了相当严重的程度，而造成这种情况的主要原因，已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”，而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。

　　瑞星研究统计团队对国内上百个社交网站的分析研究后发现，这些网站从设计伊始就把“商业利益”放在了“安全原则”之前，他们诱导用户填写自己的真实资料，利用记录的MSN账号密码和邮箱密码，频繁骚扰注册用户的邮箱联系人、MSN好友；通过网站注册时的“免责声明”来免除自己的法律责任，让用户承担全部的安全风险。他们使用的种种商业手段，让用户防不胜防。

　　传统上，用户的手机号、邮箱账号等个人资料，通常是木马病毒、恶意程序在网络上自动收集。这些程序都是黑客个人控制，其影响范围较小、对用户的威胁并不太大。而现在的社交网站借助欧美国家成熟的商业模式、心理诱导手段，利用流量巨大的商业网站来进行网民个人隐私资料的收集，其商业效率已经达到了十分恐怖的程度。

　　由于过去黑客经常利用木马病毒窃取用户资料、发送商业广告，使得现在很多用户一旦发现自己的资料泄露，往往会归咎于黑客、木马。例如，2009年3月，被文化部处罚的“热血三国”游戏就曾经盗用用户的MSN账号，向其好友发送商业广告。出现这种问题时，网民经常会埋怨杀毒软件不管用，以为自己的电脑里有木马杀不掉。实际上他的电脑是完全正常的，只是那些商家在盗用用户的MSN账户。

　　据国外媒体报道，目前包括MySpace账号、Facebook账号等国外社交网站的资料，都可以在黑市上买到，单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。从瑞星的调查结果来看，国内的开心网、海内网等社交网站的账号，尚未发现被黑客大规模出售的迹象。但很多网上出售的网民个人资料，包括手机号大全、身份证打包出售等，很可能是通过社交网站外泄的。

　　业内人士估计，目前TOP5的社交网站，可以覆盖北京、上海95%以上的年轻网民，广州80%以上的年轻网民。在报告的撰写过程中，我们使用一个带有30名好友的MSN账号注册某社交网站，登陆后发现有16人把自己的MSN好友列表储存在该网站的服务器上。类似情况，在各大社交网站都有出现，十分让人震惊。

　　调查结果显示，社交网站存在的七种主要安全风险包括：

　　1、利用引诱、误导等方式，鼓励用户填写MSN和QQ的账号、密码。

　　2、通过游戏积分奖励、优先享受新功能等方式，鼓励用户填写自己的真实情况。网站提供的安全保护，却存在很多问题。

　　3、鼓励网民将网站帐户与手机绑定，建立手机信息库，存在隐私泄露风险。

　　4、网站的隐私保护设计，完全以“方便”为立足点，漠视用户的“安全风险”。

　　5、网站使用大量ajax技术，很容易产生XSS和CSRF攻击，使用户电脑中毒，网银账户失窃等。

　　6、频繁骚扰注册用户的联系人，诱骗其注册自己的网站，甚至直接骗取隐私信息，并频繁发送广告。

　　7、用户在游戏、交流的过程中很容易泄露自己的真实情况，可能给黑客诈骗带来方便。

　　针对上述问题，瑞星安全专家建议：

　　1、在社交网站填写任何个人资料之前，都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料

　　2、不要随意通过陌生人的MSN好友请求、SNS网站的好友请求

　　3、把自己的SNS资料设为最高安全等级