新华网北京3月30日电(记者顾洪洪)我国最大的反病毒企业瑞星30日针对目前非常热门社交网站用户发出安全警告称:网民在社交网站注册个人资料之后,很容易遭遇手机号泄露、MSN和邮箱账号密码被盗用等七大安全风险,而利用各种方式骗取网民个人资料用以牟利,已经成为社交网站利润的重要来源。
瑞星发布的《网民隐私与社交网站(SNS)安全报告》称:瑞星互联网攻防实验室统计研究表明,目前国内网民的个人隐私泄露情况已经相当严重,而造成这种情况的主要原因,已经从“木马病毒小规模窃取”逐步转变为商业公司有目的地收集,这些商业公司诱导网民泄露隐私,然后记录用户隐私并牟利,而一些社交网站则表现得尤为突出。
2006年9月,一个叫“中国缘”的恶意网站被媒体曝光,从此开启了“社交网站恶意发展”的序幕。期间,多个恶意社交网站被媒体曝光,最近的一个案例是,2009年3月,网游“热血三国”因为采用恶意推广方式被文化部查处。要进行这些恶意推广,厂商首先要获取用户的MSN账号、邮箱等私人信息,而社交网站正充当了这个“个人信息提供商”的角色。时至今日搜索关键字“中国缘流氓”,依然能找到数十万个相关消息和用户帖子。
根据瑞星安全人员的分析,目前社交网站存在七种主要安全风险:1、利用引诱、误导等方式,鼓励用户填写MSN和QQ的账号、密码。2、通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。3、鼓励网民将网站账户与手机绑定,建立手机信息库,存在隐私泄露风险。4、网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。5、网站使用大量ajax技术,很容易产生XSS和CSRF攻击,使用户电脑中毒,网银账户失窃等。6、频繁骚扰注册用户的MSN、邮件联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,以及推送广告。7、用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
除了网民提高自我防范意识之外,瑞星安全专家建议,鉴于目前个人隐私保护不力的情况,国家相关部门应该出台针对性的法律、规章,通过法律途径或者是行业规范对利用个人隐私牟利的企业行为作出查处。同时,社交网站行业应该主动进行行业自律,不能只看到侵害用户隐私带来的短期利益,而要维护行业长期的健康发展。