瑞星发布《社交网站安全报告》社交网站存在七大安全风险可能成为用户隐私泄露重灾区
瑞星发布《社交网站安全报告》社交网站存在七大安全风险 可能成为用户隐私泄露重灾区3月30日,瑞星公司发布《网民隐私与社交网站(SN S)安全报告(2009)》,针对目前非常热门社交网站用户发出安全
瑞星发布《社交网站安全报告》
社交网站存在七大安全风险 可能成为用户隐私泄露重灾区
3月30日,瑞星公司发布《网民隐私与社交网站(SN S)安全报告(2009)》,针对目前非常热门社交网站用户发出安全警告。报告指出,网民在社交网站注册个人资料之后,很容易遭遇手机号泄露、MS N 和邮箱账号密码被盗用等七大安全风险,而利用各种方式骗取网民个人资料用以牟利,已经成为社交网站利润的重要来源。“我从来没有去过任何交友网站,也不爱玩这个,今天突然收到一女性朋友的电子邮件,题目写着《我想跟你明确关系》
,点邮件里的链接后出现一个页面,直接要求我填写MSN 账号和密码,这是怎么回事啊?是病毒吗?”北京网民张先生向瑞星客户服务中心的工程师询问。根据瑞星安全工程师查证,这可能是一起社交网站骗取用户个人隐私信息的行为。
(张先生收到的邮件)
(该网站直接要求张先生提供MSN 密码)瑞星互联网攻防实验室和瑞星客户服务中心的统计研究表明,目前国内网民的个人隐私泄露情况已经达到了相当严重的程度,而造成这种情况的主要原因,已经从“木马病毒小规模窃取”逐步转变为商业公司的有目的收集,这些商业公司诱导网民泄露隐私,然后记录用户隐私并牟利,而一些社交网站则表现得尤为突出。
2006年9月,一个叫“中国缘”的流氓网站被媒体曝光,从此开启了“社交网站流氓式发展”的序幕;期间,多个流氓社交网站被媒体曝光,最近的一个案例是,2009年3月,网游“热血三国”因为采用流氓式推广被文化部
万方数据
查处。要进行这些流氓式推广,厂商首先要获取用户的M S N 账号、邮箱等私人信息,而社交网站正充当着这个“个人信息提供商”的角色。时至今日,搜索关键字“中国缘 流氓”,依然能找到数十万个相关消息和用户帖子。 根据瑞星安全人员的分析,目前社交网站存在的七种主要安全风险包括:
(1)利用引诱、误导等方式,鼓励用户填写M S N 和QQ 的账号、密码。
(2)通过游戏积分奖励、优先享受新功能等方式,鼓励用户填写自己的真实情况。网站提供的安全保护,却存在很多问题。
(3)鼓励网民将网站账户与手机绑定,建立手机信息库,存在隐私泄露风险。
(4)网站的隐私保护设计,完全以“方便”为立足点,漠视用户的“安全风险”。
(5)网站使用大量A j a x 技术,很容易产生X S S 和CSRF 攻击,使用户电脑中毒,网银账户失窃等。(6)频繁骚扰注册用户的M S N、邮件联系人,诱骗其注册自己的网站,甚至直接骗取隐私信息,以及推送
广告。
(7)用户在游戏、交流的过程中很容易泄露自己的真实情况,可能给黑客诈骗带来方便。
据业内人士估计,在大中型城市的15至30岁的网民中,有95以上会注册一个或几个社交网站,所以其带来的安全风险、个人隐私风险十分严重。在瑞星公司的测试中,用一个拥有30名好友的MSN 账号注册某社交网站,
登录后发现,好友中的16人填写了自己的MSN 账号密码,把好友列表存储在该网站的服务器上。这些隐私信息一旦泄露,后果不堪设想。
据国外媒体报道,目前包括M y S p a c e 账号、Facebook 账号等国外社交网站的资料,都可以在黑市上买到,单个账户的价格根据活跃等级、完善程度从几美分到几美元不等。根据调查,欧盟成员国54%的家长因此担心自己的孩子遭受网络暴力。在欧盟委员会的协调下,包括YouTube、雅虎(欧洲)、MSN、MySpace和Facebook 在内的17盟未成年人的协议。
,
CNNIC 推出自主研发的服务器域名证书--网址卫士
目前网络欺诈、网络钓鱼正成为继病毒木马之后的重大网络危害行为,网络信息安全环境越来越复杂,基于域名的网络安全服务成为治理网络环境的重要一环。
中国互联网络信息中心(CNNIC)日前在北京召开“繁荣·诚信·互联网——绿色网络安全行动暨网址卫士国际认证新闻发布会”。会上隆重宣布,由C N N I C 自主研发的服务器域名证书——网址卫士顺利通过全球最权威、最严谨的Webtrust 安全标准审计,并成为国内首款得到
微软IE 等世界主流浏览器信任的服务器域名证书。
开展了相应的技术研发和服务,在假冒钓鱼网站层出不穷的形势下,服务器域名证书具有广泛的用户需求,各国政府都非常重视,加快部署域名安全技术。目前服务器域名证书应用领域非常广泛,全面覆盖财税、金融、保险、IT等众多行业,是网上支付、发布指令或信息、网民私密信息等重要信息实现网络间安全加密传输的重要保障。
中国反钓鱼网站联盟发布的《2009年网络信息安全热点数据》显示,近8成网民担心在网上填写的个人资料安全状况。 而CNNIC 此次推出的网址卫士兼具网站身份确认、信息传输加密、网站防伪标识三重功能。其严谨的审核流程、国际主流安全加密技术,可力阻钓鱼网站,帮助网民实现用户与网站之间交互数据信息的加密传输,防止机密信息泄露或被篡改,保证信息的完整性、安全性。
据了解,Webtrust是由世界两大著名注册会计师协会(美国注册会计师协会,AI C P A 和加拿大注册会计师协会,CI C A ) 制定的安全审计标准,主要对申请对象的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。只有通过Webtrust 国际安全审计认证,才有可能成为全球主流浏览器根信任的证书签发机构,也只有取得浏览器根信任的机构颁发出的证书,才能真正意义上的防止钓鱼网站的出现,保障网站的利益、保障全体网民及各企事业团体的自身利益。
借此次发布会,CN N I C 联合了杀毒行业、中国反钓鱼网站联盟等力量启动了“绿色网络安全行动”,旨在建立网络危害行为协同应对平台,共享网络危害行为监测数据,携手合力共同治理病毒、木马和假冒钓鱼网站等三大互联网“毒瘤”。
CNNIC 网址卫士通过国际安全认证并实现“CNNIC根”(CNNIC root) 嵌入在全球主流浏览器,中国拥有了自主研发的服务器域名证书,实现了在浏览器中根信任零的突破,有助于我国进一步提升了国内企业及个人网上信息安全保障水平,实现我国服务器域名证书服务的自主管理、自我发展和自我完善的目标。
服务器域名证书顺应当今世界域名安全技术(DNSSEC)趋势,国际上主流的域名注册管理机构基本都
除了网民提高自我防范意识之外,瑞星安全专家建议,鉴于目前个人隐私保护不利的情况,国家相关部门应该出台针对性的法律、规章,通过法律途径或者是行业规范对利用个人隐私牟利的企业行为做出查处。同时,社交网站行业应该主动进行行业自律,不能只看到侵害用户隐私带来的短期利益,而要维护行业长期的健康发展。
针对上述隐私安全问题,瑞星安全专家建议普通网民采取如下措施:
(1)要严密防范S N S 网站的蠕虫攻击。对于普通用户来讲,可以安装免费的“瑞星卡卡上网助手6.0”,利用其中的漏洞扫描功能,弥补系统漏洞;安装瑞星杀毒软件,其中的基于云安全系统的“防挂马模块”,可以利用行为分析方法,拦截SNS 网站上的盗号木马、蠕虫等。(2)在社交网站填写任何个人资料之前,都要了解到
其中蕴含的风险。尽量不要在社交网站填写过于详细的个人资料。尤其是自己的收入水平、婚姻状况,自己是否买股票、基金等个人隐私,很容易被有心人利用,进行商业推广和诈骗。
(3)不要轻易加M S N 好友、QQ 好友、SN S 网站好友。随着SNS 网站的发展,这些个人资料往往有集中、整合的趋势,例如,你一旦加了某人为M S N 好友,则他在很多S N S 网站会自动成为你的好友。这样,即使是一个十分陌生的人,也可能了解到你最隐私的个人资料。这样带来的安全风险是不言而喻的。
(4)在使用S N S 网站时,要充分利用其安全机制。例如,通过S N S 网站邀请好友时,如果输入了自己的M S N 账号密码、邮箱账号密码,在使用完该功能之后要马上修改密码。这样,就可以规避掉一些安全风险。
