【.com 综合消息】本报告主要内容来自瑞星客户服务中心和瑞星互联网攻防实验室的调查和研究成果,部分数据来自来自瑞星“云安全”系统,仅针对网民在使用国内社交网站(SNS)的过程中,可能遇到的个人隐私安全问题,做出的调查、统计、分析和建议。
本报告提供给网民、媒体、政府和行业管理机构等有关方面,作为互联网信息安全状况的介绍和研究资料,以及对用户的安全警告和建议。如若本报告阐述之状况、数据与其它机构研究结果有差异,请读者自行辨别。本报告所提及案例和人物,均以公证,请相关机构在引用时请保持事件描述和资料的完整性,否则瑞星公司不承担与此相关的一切法律责任。
目录: 报告概要:用户隐私面临巨大威胁 社交网站成泄密主要途径第一节、社交网站成主要泄密渠道第二节、社交网站的七种安全风险报告概要:用户隐私面临巨大威胁 社交网站成泄密主要途径
瑞星研究统计团队掌握的数据表明,目前中国网民的个人隐私①泄露情况已经达到了相当严重的程度,而造成这种情况的主要原因,已经从“木马病毒窃取”逐步转变为“有组织、大规模的进行商业收集利用”,而社交网站更成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团。
(注1:本报告所指的个人隐私,主要包括手机号、邮件账号密码、MSN账号密码、QQ账号密码、婚姻情况、教育情况、年龄、性别、身体健康情况等。网银账号、网游帐号、证券账号等个人虚拟财产等不包括在内。)
本团队对国内上百个社交网站的分析研究后发现,这些网站从设计伊始就把“商业利益”放在了“安全原则”之前,他们诱导用户填写自己的真实资料,利用记录的MSN账号密码和邮箱密码,频繁骚扰注册用户的邮箱联系人、MSN好友;通过网站注册时的“免责声明”来免除自己的法律责任,让用户承担全部的安全风险。他们使用的种种商业手段,让用户防不胜防。
传统上,用户的手机号、邮箱账号等个人资料,通常是木马病毒、恶意程序在网络上自动收集。这些程序都是黑客个人控制,其影响范围较小、对用户的威胁并不太大。而现在的社交网站借助欧美国家成熟的商业模式、心理诱导手段,利用流量巨大的商业网站来进行网民个人隐私资料的收集,其商业效率已经达到了十分恐怖的程度。
由于过去黑客经常利用木马病毒窃取用户资料、发送商业广告,使得现在很多用户一旦发现自己的资料泄露,往往会归咎于黑客、木马。例如,2009年3月,被文化部处罚的“热血三国”游戏就曾经盗用用户的MSN账号,向其好友发送商业广告。出现这种问题时,网民经常会埋怨杀毒软件不管用,以为自己的电脑里有木马杀不掉。实际上他的电脑是完全正常的,只是那些商家在盗用用户的MSN账户。
据国外媒体报道,目前包括Myspace账号、Facebook账号等国外社交网站的资料,都可以在黑市上买到,单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。从瑞星的调查结果来看,国内的开心网、海内网等社交网站的账号,尚未发现被黑客大规模出售的迹象。但很多网上出售的网民个人资料,包括手机号大全、身份证打包出售等,很可能是通过社交网站外泄的。
业内人士估计,目前TOP5的社交网站,可以覆盖北京、上海95%以上的年轻网民,广州80%以上的年轻网民。在报告的撰写过程中,我们使用一个带有30名好友的MSN账号注册某社交网站,登陆后发现有16人把自己的MSN好友列表储存在该网站的 服务器 上。类似情况,在各大社交网站都有出现,十分让人震惊。
调查结果显示,社交网站存在的七种主要安全风险包括:
1、利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。2、通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。网站提供的安全保护,却存在很多问题。3、鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。4、网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。5、网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。6、频繁骚扰注册用户的联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,并频繁发送广告。7、用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
针对上述问题,瑞星安全专家建议:
1、在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料2、不要随意通过陌生人的MSN好友请求、SNS网站的好友请求3、把自己的SNS资料设为最高安全等级 第一节 社交网站成主要泄露渠道
在传统上,人们往往认为木马病毒会窃取QQ号、邮箱地址,后门程序可以让黑客偷窥你电脑上的手机号、通讯录,从而把“隐私泄露”的责任全部归因于“电脑中毒、电脑中了木马”等技术因素。
其实现在的情况已经有了很大改变,社交网站的隐私泄露、用户个人的安全意识不强等非技术性的因素,已经成为收集、利用网民隐私的重要原因。而那些木马、病毒、后门程序则成为他们收集网民隐私的辅助工具,而不再是主要因素。
通过社交网站,商业公司不但可以收集用户的手机号、MSN账号等普通信息,还可以通过分析网民发布的博客、帖子、同学群体等,推测出用户的消费倾向(节俭还是奢侈)、个人婚姻情况(单身还是离婚)、工作情况(是否有跳槽的意向)等十分隐私的信息。
用户经常遇到的泄密问题包括:
1、手机号泄露。手机号泄露之后,很多人会频繁接到各种广告短信,推销发票、枪支、性用品等非法物品;有人会接到各种诈骗电话,近来热门的“中奖电话”、“退税诈骗电话”等,起因往往就是由于用户的手机号泄露。
2、MSN账号密码泄露(QQ帐号密码)。MSN和QQ作为人们日常应用的网络通讯工具,一旦泄露会带来很多麻烦。比如,黑客会编写机器人程序,利用收集到的MSN账号密码登陆,然后向其好友发送垃圾消息、商业广告等。
3、邮件账号泄露(Outlook通讯录、Foxmail通讯录泄露)。黑客会使用收集到的邮箱帐号密码登陆,冒充用户向其好友发送商业广告、病毒链接、木马网站链接,甚至可以利用该邮箱,获取用户更多的个人隐私。
4、真实情况泄露。这主要指的是网民的一些真实生活情况会被网上泄露,典型的如“虐猫女”、“铜须门”、“最牛小三”、“北师大美女副总裁”事件等。发生泄露之后,人们的正常生活会遭到严重影响。
5、病毒和挂马网站。用户的邮件账号、QQ号、MSN账号泄露后,经常会收到木马网站链接、钓鱼网站链接等。如果不做好防备,很容易中毒。
上述这些泄密问题,往往存在于博客、社交网站、论坛上,而社交网站由于兼具博客和论坛功能,其危险性更是不容低估。 第二节 社交网站的七种安全风险
作为目前火热的社交网站,其中的领先者通常有数千万注册用户。据业内人士估计,排行前列的社交网站,一般会在北京拥有用户300万以上,上海300万以上,广州200万以上。根据其经营策略的不同,人群分布会有不同,比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体,一旦发生个人隐私泄露,其危害不容低估。
在流行的社交网站中,要求用户填写的个人资料包括:性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用网站的交友功能、游戏功能,通常还要提供更多的信息,包括:MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。可以说,如果网民将这些信息全部填写完毕,那就几乎没有任何隐私可言。
而且,根据瑞星的调查分析,通过“查找朋友”、“游戏邀请”等方式引诱用户填写隐私资料、对其好友进行频繁骚扰,并不是某个网站的单独行为,而已经成为很多SNS借以吸引用户的重要手段,几乎所有网站都在采用,几乎成为社交网站最为重要的“潜规则”。而正是这些潜规则,对用户的安全构成了严重威胁。
经过本报告撰写团队的仔细分析,目前国内社交网站在用户的个人隐私保护方面,存在七种主要的安全风险::
第一、利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。
例如,在新用户注册某网站的时候,弹出的注册界面就是“你的MSN账号”、“你的MSN密码”,让人误以为只能用MSN账号和密码来登陆该网站。实际上,你可以任意填写可用的邮箱帐号,任意填写密码即可登陆。
在注册登陆之后,网站还会在很多环节要求用户提供MSN账号密码。例如,在“查找好友”功能、“争车位”游戏、“买房子”游戏中,都会不断出现对话窗口,要求用户填写自己的MSN帐号和密码。目前,包括MSN帐号密码、QQ帐号密码等信息填写与否,已经成为衡量社交网站注册用户质量的重要因素,因此这些网站都在不惜一切手段鼓励用户填写真实资料。
在几年前,一个名为“中国缘”的网站就曾经大规模利用用户填写的MSN账号和密码发送可疑程序、商业广告等,从事流氓行为。根据瑞星检测,目前绝大多数社交网站还仅仅是收集用户的MSN账号,并没有像“中国缘”那样进行大规模的流氓利用。但是,其中蕴含的隐私泄露风险是不言而喻的。
第二、通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。
无论风险投资人(VC)还是行业分析专家,对于社交网站注册用户的衡量标准,就是其用户的真实程度如何。用户填写的个人资料越详细,就越有商业价值。因此,所有的社交网站都在鼓励用户填写真实资料。但提供的安全保护却并不充足。
例如,在某网站注册用户的时候,会要求用户上传真实头像,旁边的注释写着:上传真实头像的好处,无限容量邮箱,更多的游戏奖励……等等。同样,很多社交网站采取邀请朋友注册送积分、送更大的博客空间等方式,引诱用户把自己的邮箱密码、通讯录等私密资料交给网站。
尽管在这些网站有提醒:完成此功能后请修改密码,但很多安全意识不强的用户会自动省略这一步骤,从而造成个人隐私泄露。这样,为了更快的升级,更好的游戏体验,很多不了解安全风险的用户,自然会选择填写真实资料。
下图:几乎所有社交网站都开通了多种邀请好友的方式,涉及Outlook通讯录、MSN密码、Foxmail通讯录等三种个人隐私。 第三、鼓励网民将网站帐户与手机绑定,建立手机信息库,存在隐私泄露风险。
绝大多数SNS网站都带有手机验证、手机绑定、用手机取回密码等功能,该功能的存在,虽然能够方便用户的使用,但很可能带来隐私泄露的风险。尤其是有些中小SNS网站通过建立用户的手机信息库,可以出售给商家,向用户的手机大量发送商业短信等。
此前,也曾经出现过由于网站倒闭而出售用户数据库;或者聘任有道德问题的员工,窃取公司的用户数据库;被黑客攻击,盗取用户数据库等。一旦发生上述问题,就会出现用户的手机号、邮箱、生日、银行卡号等个人情况泄露,被出售、转卖,被人利用来进行黑客攻击、商业利益等。
第四,网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。
在所社交网站站(SNS)的架构设计、功能设计中,一开始就是完全以“方便用户”、“吸引用户注册”为根本思想,漠视这些方便性的设计可能给用户带来的安全风险。例如,在某网站的“查找好友”功能中,如果你填写了MSN账号和密码,则你所有的MSN好友列表都会被保存到服务器上,当你的MSN好友再注册某网站时,则你们会自动成为好友。
毋庸讳言,这种功能设计会给用户带来非常方便的体验,而且加强了用户的互动,有利于“黏住”用户。但是,这个设计在安全上的风险也是显而易见的。例如,如果你在淘宝上出售东西,为了方便联系把其加为MSN好友。当两个人同时在开心网注册时,则你们会自动成为好友。
而且,某网站默认的隐私保护级别是:两个好友可以相互浏览对方的私密信息,如手机号、家庭住址、婚姻情况、教育情况等私人信息都可以被看到。如果你采用默认设置,你的信息就会被这个“陌生人”看到,产生不可测的安全风险。
第五,网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。
社交(SNS)网站容易遭到的病毒类安全风险主要有两类:一类是因为采用ajax技术而导致的蠕虫攻击,如Myspace、国内的51.com、校内网都曾经出现过各自的网内蠕虫,这些蠕虫通过利用个人空间、模板上的bug,可以自动向用户的好友发送带毒链接,用户浏览后就会中毒。
另外一类是由于SNS网站对cookie的不恰当使用,而导致黑客可以轻易发动CSRF攻击。所谓CSRF攻击,指的是Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
例如,有的SNS网站为了让用户经常登陆,利用一个永久有效的Cookie,让用户永久保持在登陆状态。这样,用户只要输入网站的网址,不用填写自己的账号和密码,就可以登陆,使用SNS网站的各种功能。只要黑客拿到机器上储存的这个Cookie,就可以以用户的身份做任何事情。
这只是CSRF攻击最简单的利用,更复杂的利用包括:如果用户登录到网银账号,则黑客可以通过成功的CSRF攻击,从用户的帐号里转走钱财。或者,在后台“帮用户购买并不需要的商品”。
第六、频繁骚扰注册用户的联系人,诱骗其注册自己的网站,并发送商业广告。
大多数交友网站(SNS)社交网站用户MSN账号、邮件帐号密码、手机号码等资料之后,会对其进行大规模的商业利用。最为常见的方式,就是向用户的MSN好友发送商业广告,或者向用户foxmail通讯录中的邮件地址发送邀请注册信件。尤其是一些网站,会发送带有暧昧的字眼的邮件,通过利用用户的好奇心理,吸引他们注册,骗取其手机号、MSN账号等私人信息。
典型案例:“我从来没有去过任何交友网站,也不爱玩这个,今天突然收到一朋友的电子邮件写着《我想跟你明确关系》,点邮件里的链接后出现一个页面,直接要求我填写MSN账号和密码,这是怎么回事啊?是病毒吗?”北京网民张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证,这可能是一起的社交网站骗取用户个人隐私信息的行为。
| 图1 |
(张先生收到的邮件)
| 图2 |
(该网站直接要求张先生提供MSN密码)
前一段时间,一个名为“热血三国”的游戏,由于向MSN用户大规模发送商业链接,被多家媒体广泛关注。有的用户以为自己中毒才受这些垃圾信息的骚扰,而实际上,这是用户的MSN账号泄露后,那些广告厂商利用MSN机器人主动发送的商业信息。
第七、用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给人肉搜索、黑客诈骗带来方便。
对于用户来讲,交友网站是个真实的社交网站场所,而在论坛发贴、发表博客的同时,很容易泄露自己的隐私、个人情况。一旦被人恶意利用,则会出现不可预料的后果。例如,曾经闹得沸沸扬扬的“史上最牛小三”、“铜须门”等事件,就让当事人陷入非常尴尬的地步。
尤其是国内流行的“人肉搜索”,目前主要搜索的领域还是先有论坛、博客等。如果将来扩展到对交友网站的利用,则社交网站隐私的安全按威胁,也将比现在扩大许多倍,更会让普通用户面临毫无隐私的地步。而这些隐私如果被黑客利用,则其诈骗成功率也会大大增加。
| 图3 |
(淘宝网上出售的账号,如果被黑客购买,那账号好友的隐私,则处于不设防状态)
例如,某网站的注册帮助中写到“本公司对直接、间接、偶然、特殊及继起的损害不负责任,这些损害来自:不正当使用产品服务,在网上购买商品或类似服务,在网上进行交易,非法使用服务或用户传送的信息有所变动。”
又比如,某网站的隐私保护中写到“用户须明白,在使用我们提供的服务存在有来自任何他人的包括威胁性的、诽谤性的、令人反感的或非法的内容或行为或对他人权利的侵犯(包括知识产权)的匿名或冒名的信息的风险,用户须承担以上风险,**网和合作公司对服务不作任何类型的担保”
通过类似的条款,那些交友网站撇除了自己社交网站的责任。
为什么芒果台的80 90栏目 没有了呢
安秀夫是反串演员,湖南卫视《8090》节目造假 商都网 2010-1-5 10:26大家应该注意到,在短短的一个月时间内,这对龙江卫视反串情侣很快的就变成了湖南卫视《8090》里的分手半年有余的男女,真不知道是龙江卫视找了一对已经分手的反串情侣做节目,还是湖南卫视《8090》找他们这对反串的情侣作秀瞎编节目,... 5条相同新闻>> 8090:成也“真实”,败也“真实”? 湖南卫视粉丝网 2010-1-29 19:48幸好,解华澎在这件事情上面有错,他应该不会用法律来维护自己的合法权益,即使他没有授权湖南卫视《8090》来对这件事情进行曝光,即使他没有授权让湖南卫视《8090》告知观众他姓啥名啥,在哪里读书。 人嘛,还是得有脸才行。 但是,是不是犯了错就一定要让全国观众都知道呢?... 2条相同新闻>> 2010年2月网络电视行业月度报告 网络娱乐 2010-3-24 16:43江苏卫视的“非诚勿扰”一举冲出重围,成为2月最受网民关注的服务类栏目,关注度占比高达29.63%。 在TOP10,情感类栏目也备受关注,如湖南卫视的“8090”,东方卫视的“幸福魔方”以及江苏卫视的“人间”。 感情牌已经成为眼下最吸引网民的砝码之一。 2条相同新闻>> “舞美师”将现身《综艺》年度节目颁奖典礼 新华网陕西频道 2010-3-19 09:24...湖南卫视网络职业营销师舞美师日前在博客上用与“在《综艺》颁奖典礼上对话”的方式大谈2009中国电视竞争格局。 ...,收视也要逊很多。 我个人还经常关注收看的节目有浙江卫视的《爽食赢天下》、湖北卫视的《薇观世界》、云南卫视的《音乐现场》、山东卫视的《中华达人》、贵州卫视... 7条相同新闻>>湖南卫视《8090》超高收视率实为造假?安秀夫是何人也? 外汇通 2010-1-5 22:04编者按:湖南卫视当家主持人汪涵曾说过,《8090》是《真情》的下一代,的确《8090》以80后和90后的视角讲述情感故事,...《8090》为湖南卫视推出的中国第一档聚焦青少年成长情感故事的节目,从11月30日开始,... 2条相同新闻>>湖南卫视主持人微博集合 周笔畅新歌要转型(图) 新浪 2010-3-12 17:553月12日明星微博:湖南卫视集体入驻微博 周笔畅新歌期待转型 集体入驻微博 “集合!”...《勇往直前》、《8090》等栏目官方微博。 新歌期待转型 昨晚,周笔畅和 陈珊妮的录音工作终于结束了。 ... 4条相同新闻>> 台长欧阳常林调动 湖南台统一口径先免再升 新华网 2010-1-7 08:59如果不是因为湖南卫视(“芒果台”)的节目太深入人心,原湖南电视台台长欧阳常林的工作调动就不会被娱乐圈如此关注。 ...昨日,有网友在网上发帖称,湖南卫视《8090》节目造假,并且列举出了相关证据。 元月4日湖南卫视播出的《8090》节目中,漂亮的莎莎半年前,通过朋友介绍,... 27条相同新闻>>曹颖主持《8090》聚焦青少年情感 解析师生恋 中国经济网 2010-1-13 14:12由曹颖主持的湖南卫视《8090》从2009年末上档播出以来,一直以话题吸引着观众的眼球,收视更是节节攀升。 记者受节目组邀请,参加了题为《我可以爱你吗?老师》节目的录制。 本以为只是关于“师生恋”的话题性的节目,... 31条相同新闻>> 《8090》“赶走”《鲁豫有约》? 广州日报 2009-12-23 04:07(记者 林芳)中国第一档聚焦青少年成长情感故事的节目《8090》正在湖南卫视热播,节目以80后、90后的年轻人为主人公,从他们的视角讲述情感故事。 节目主持人陈正飞透露,《8090》并非如传言所说是《真情》的“接班人”,但它在档期上的确是将《鲁豫有约》“赶出”了湖南卫视。 陈正飞表示,... 30条相同新闻>>新浪娱乐:《我要拍电影》高校赛区启动 8090后踊跃参赛 金鹰网 2010-3-26 10:35新浪娱乐讯 3月25日上午TVB剧情网 在线观看:
广州有哪些换物网?
如今,换物网就像雨后春笋一样纷纷冒出了牛角尖,在广州各个地区,消费者已经掀起了一股换物热潮,许多消费者总会担心质量和信誉问题,那么,在广州地区有哪一些比较值得信任的换物网呢?
1:爱喜千团网
爱喜千团网,是一个专门提供换物服务的网站,它提供了两个关于换物的服务:
2:广州大学城换物网
这个网站也比较值得信任,主要交换人群集中在大学城学生内。广州大学城交换网,以广州大学城学生圈为主辐射全广州乃至全国,以物易物,物品交换,旧物交换,技能交换,以物易物,二手交换,二手买卖,让您享不尽的交换乐趣、体验不一样的交换快乐!
3:广州换物网
电子商务物品,信息交换平台,网站于2009年7月1日上线发布,2009年8月8日宣布正式运营。 广州换物网一直致力于打造时尚、新潮的品牌文化,换物网希望打造一个全新的“社区化物品交换平台”,为网大用户提供诚信、安全的在线物品交换新体验。
4:广州换客网
同城交友,同城换物,广州换客网交换、买卖,让您既交友也换物。 所有换物网都大同小异,只是看消费者怎么选择、在这里温馨提醒大家,选择换物时要选择一些比较信任的网站为好。
互联网的发展?
第一次互联网大浪潮1994年—2000年
从四大门户到搜索
1994年正式接入国际互联网.
1997年6月,丁磊创立网易公司;
1998年张朝阳正式成立搜狐网;
1998年 邮箱普及&第一单网上支付完成
1998年11月腾讯成立 ,由马化腾、张志东等五位创始人创立。
1998年12月,由王志东先生创立新浪
1999年 聊天软件QQ出现,当时叫 OICQ,后改名腾讯QQ风靡全国。
1999年9月9日马云带领下的18位创始人在杭州正式成立了阿里巴巴集团
2000年1月1日李彦宏在中关村创建了网络公司
第二次互联网大浪潮(2001年—2008年)
从搜索到社交化网络
(博客、sns、论坛、微博)
2001年中国互联网协会成立
2002年,博客网成立
2002年,个人门户兴起,互联网门户进入2.0时代。
2003年 淘宝网上线,后来成为全球最大C2C电商平台;下半年,阿里巴巴推出支付宝。
2004年 网游市场风起云涌
2005年博客元年
2006年熊猫烧香病毒泛滥,名为“熊猫烧香”的计算机蠕虫病毒感染数百万台计算机
2007年 电商服务业确定为国家重要新兴产业
2008年 中国网民首次超过美国
第三次互联网大浪潮(2009年—2014年)
PC互联网到移动互联网
(入口从搜索到各种各样app分流)
2009年 SNS社交网站活跃,人人网(校内网)、开心网、QQ、等SNS平台为代表
2010年团购网站兴起,数量超过1700家,团购成为城市一族最潮的消费和生活方式。
2011年微博迅猛发展对社会生活的渗透日益深入,政务微博、企业微博等出现井喷式发展。
2012年手机网民规模首次超过台式&微信朋友圈上线
2012年3月今日头条上线
被业内称为双十一的爆发点,这一年淘宝商城正式更名为天猫。 2012年双十一当日,天猫与淘宝的总销售额达到191亿,其中天猫达到132亿淘宝也有59亿。
2013年余额宝上线
2014年 打车软件烧钱发红包,滴滴快的巨资红包抢用户,“互联网+交通”出行.
2015年 首次提出“互联网+”;
2016年,互联网直播、网红等热词“风靡全国”, 短视频造就第一网红papi酱!
2017年自媒体百家争鸣,互联网BAT第一梯队,第二梯队等纷纷砸金压自媒体平台,(百家号,搜狐号,网易号,大yu号、京东号、迅雷号等)
2016年12月3日知识付费掘起,
发表评论