第二节 社交网站的七种安全风险
作为目前火热的社交网站,其中的领先者通常有数千万注册用户。据业内人士估计,排行前列的社交网站,一般会在北京拥有用户300万以上,上海300万以上,广州200万以上。根据其经营策略的不同,人群分布会有不同,比如有的侧重于白领、有的侧重于学生等等。如此巨大的用户群体,一旦发生个人隐私泄露,其危害不容低估。
在流行的社交网站中,要求用户填写的个人资料包括:性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等。如果用户要使用网站的交友功能、游戏功能,通常还要提供更多的信息,包括:MSN账号密码、QQ帐号密码、Outlook邮箱通讯录。可以说,如果网民将这些信息全部填写完毕,那就几乎没有任何隐私可言。
而且,根据瑞星的调查分析,通过“查找朋友”、“游戏邀请”等方式引诱用户填写隐私资料、对其好友进行频繁骚扰,并不是某个网站的单独行为,而已经成为很多SNS借以吸引用户的重要手段,几乎所有网站都在采用,几乎成为社交网站最为重要的“潜规则”。而正是这些潜规则,对用户的安全构成了严重威胁。
经过本报告撰写团队的仔细分析,目前国内社交网站在用户的个人隐私保护方面,存在七种主要的安全风险::
第一、利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。
例如,在新用户注册某网站的时候,弹出的注册界面就是“你的MSN账号”、“你的MSN密码”,让人误以为只能用MSN账号和密码来登陆该网站。实际上,你可以任意填写可用的邮箱帐号,任意填写密码即可登陆。
在注册登陆之后,网站还会在很多环节要求用户提供MSN账号密码。例如,在“查找好友”功能、“争车位”游戏、“买房子”游戏中,都会不断出现对话窗口,要求用户填写自己的MSN帐号和密码。
目前,包括MSN帐号密码、QQ帐号密码等信息填写与否,已经成为衡量社交网站注册用户质量的重要因素,因此这些网站都在不惜一切手段鼓励用户填写真实资料。
在几年前,一个名为“中国缘”的网站就曾经大规模利用用户填写的MSN账号和密码发送可疑程序、商业广告等,从事流氓行为。根据瑞星检测,目前绝大多数社交网站还仅仅是收集用户的MSN账号,并没有像“中国缘”那样进行大规模的流氓利用。但是,其中蕴含的隐私泄露风险是不言而喻的。
第二、通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。
无论风险投资人(VC)还是行业分析专家,对于社交网站注册用户的衡量标准,就是其用户的真实程度如何。用户填写的个人资料越详细,就越有商业价值。因此,所有的社交网站都在鼓励用户填写真实资料。但提供的安全保护却并不充足。
例如,在某网站注册用户的时候,会要求用户上传真实头像,旁边的注释写着:上传真实头像的好处,无限容量邮箱,更多的游戏奖励……等等。同样,很多社交网站采取邀请朋友注册送积分、送更大的博客空间等方式,引诱用户把自己的邮箱密码、通讯录等私密资料交给网站。
尽管在这些网站有提醒:完成此功能后请修改密码,但很多安全意识不强的用户会自动省略这一步骤,从而造成个人隐私泄露。这样,为了更快的升级,更好的游戏体验,很多不了解安全风险的用户,自然会选择填写真实资料。
下图:几乎所有社交网站都开通了多种邀请好友的方式,涉及Outlook通讯录、MSN密码、Foxmail通讯录等三种个人隐私。