【51CTO.com 綜合消息】本報告主要內容來自瑞星客戶服務中心和瑞星互聯網攻防實驗室的調查和研究成果，部分數據來自來自瑞星“云安全”系統，僅針對網民在使用國內社交網站（SNS）的過程中，可能遇到的個人隱私安全問題，做出的調查、統計、分析和建議。

本報告提供給網民、媒體、政府和行業管理機構等有關方面，作為互聯網信息安全狀況的介紹和研究資料，以及對用戶的安全警告和建議。如若本報告闡述之狀況、數據與其它機構研究結果有差異，請讀者自行辨別。本報告所提及案例和人物，均以公證，請相關機構在引用時請保持事件描述和資料的完整性，否則瑞星公司不承擔與此相關的一切法律責任。

目錄：
 
報告概要：用戶隱私面臨巨大威脅 社交網站成泄密主要途徑
 
第一節、社交網站成主要泄密渠道
 
第二節、社交網站的七種安全風險
 
報告概要：用戶隱私面臨巨大威脅 社交網站成泄密主要途徑

瑞星研究統計團隊掌握的數據表明，目前中國網民的個人隱私①泄露情況已經達到了相當嚴重的程度，而造成這種情況的主要原因，已經從“木馬病毒竊取”逐步轉變為“有組織、大規模的進行商業收集利用”，而社交網站更成為誘導網民泄露隱私、記錄隱私、利用網民隱私牟利的巨大商業集團。

（注1：本報告所指的個人隱私，主要包括手機號、郵件賬號密碼、MSN賬號密碼、QQ賬號密碼、婚姻情況、教育情況、年齡、性別、身體健康情況等。網銀賬號、網游帳號、證券賬號等個人虛擬財產等不包括在內。）

本團隊對國內上百個社交網站的分析研究后發現，這些網站從設計伊始就把“商業利益”放在了“安全原則”之前，他們誘導用戶填寫自己的真實資料，利用記錄的MSN賬號密碼和郵箱密碼，頻繁騷擾注冊用戶的郵箱聯系人、MSN好友；通過網站注冊時的“免責聲明”來免除自己的法律責任，讓用戶承擔全部的安全風險。他們使用的種種商業手段，讓用戶防不勝防。

傳統上，用戶的手機號、郵箱賬號等個人資料，通常是木馬病毒、惡意程序在網絡上自動收集。這些程序都是黑客個人控制，其影響范圍較小、對用戶的威脅并不太大。而現在的社交網站借助歐美國家成熟的商業模式、心理誘導手段，利用流量巨大的商業網站來進行網民個人隱私資料的收集，其商業效率已經達到了十分恐怖的程度。

由于過去黑客經常利用木馬病毒竊取用戶資料、發送商業廣告，使得現在很多用戶一旦發現自己的資料泄露，往往會歸咎于黑客、木馬。例如，2009年3月，被文化部處罰的“熱血三國”游戲就曾經盜用用戶的MSN賬號，向其好友發送商業廣告。出現這種問題時，網民經常會埋怨殺毒軟件不管用，以為自己的電腦里有木馬殺不掉。實際上他的電腦是完全正常的，只是那些商家在盜用用戶的MSN賬戶。

據國外媒體報道，目前包括Myspace賬號、Facebook賬號等國外社交網站的資料，都可以在黑市上買到，單個賬戶的價格根據活躍等級、完善程度從幾美分到幾美元不等。從瑞星的調查結果來看，國內的開心網、海內網等社交網站的賬號，尚未發現被黑客大規模出售的跡象。但很多網上出售的網民個人資料，包括手機號大全、身份證打包出售等，很可能是通過社交網站外泄的。

業內人士估計，目前TOP5的社交網站，可以覆蓋北京、上海95%以上的年輕網民，廣州80%以上的年輕網民。在報告的撰寫過程中，我們使用一個帶有30名好友的MSN賬號注冊某社交網站，登陸后發現有16人把自己的MSN好友列表儲存在該網站的服務器上。類似情況，在各大社交網站都有出現，十分讓人震驚。

調查結果顯示，社交網站存在的七種主要安全風險包括：

1、利用引誘、誤導等方式，鼓勵用戶填寫MSN和QQ的賬號、密碼。
2、通過游戲積分獎勵、優先享受新功能等方式，鼓勵用戶填寫自己的真實情況。網站提供的安全保護，卻存在很多問題。
3、鼓勵網民將網站帳戶與手機綁定，建立手機信息庫，存在隱私泄露風險。
4、網站的隱私保護設計，完全以“方便”為立足點，漠視用戶的“安全風險”。
5、網站使用大量ajax技術，很容易產生XSS和CSRF攻擊，使用戶電腦中毒，網銀賬戶失竊等。
6、頻繁騷擾注冊用戶的聯系人，誘騙其注冊自己的網站，甚至直接騙取隱私信息，并頻繁發送廣告。
7、用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給黑客詐騙帶來方便。

針對上述問題，瑞星安全專家建議：

1、在社交網站填寫任何個人資料之前，都要了解到其中蘊含的風險。盡量不要在社交網站填寫過于詳細的個人資料
2、不要隨意通過陌生人的MSN好友請求、SNS網站的好友請求
3、把自己的SNS資料設為最高安全等級
 
第一節 社交網站成主要泄露渠道

在傳統上，人們往往認為木馬病毒會竊取QQ號、郵箱地址，后門程序可以讓黑客偷窺你電腦上的手機號、通訊錄，從而把“隱私泄露”的責任全部歸因于“電腦中毒、電腦中了木馬”等技術因素。

其實現在的情況已經有了很大改變，社交網站的隱私泄露、用戶個人的安全意識不強等非技術性的因素，已經成為收集、利用網民隱私的重要原因。而那些木馬、病毒、后門程序則成為他們收集網民隱私的輔助工具，而不再是主要因素。

通過社交網站，商業公司不但可以收集用戶的手機號、MSN賬號等普通信息，還可以通過分析網民發布的博客、帖子、同學群體等，推測出用戶的消費傾向（節儉還是奢侈）、個人婚姻情況（單身還是離婚）、工作情況（是否有跳槽的意向）等十分隱私的信息。

用戶經常遇到的泄密問題包括：

1、手機號泄露。手機號泄露之后，很多人會頻繁接到各種廣告短信，推銷發票、槍支、性用品等非法物品；有人會接到各種詐騙電話，近來熱門的“中獎電話”、“退稅詐騙電話”等，起因往往就是由于用戶的手機號泄露。

2、MSN賬號密碼泄露（QQ帳號密碼）。MSN和QQ作為人們日常應用的網絡通訊工具，一旦泄露會帶來很多麻煩。比如，黑客會編寫機器人程序，利用收集到的MSN賬號密碼登陸，然后向其好友發送垃圾消息、商業廣告等。

3、郵件賬號泄露（Outlook通訊錄、Foxmail通訊錄泄露）。黑客會使用收集到的郵箱帳號密碼登陸，冒充用戶向其好友發送商業廣告、病毒鏈接、木馬網站鏈接，甚至可以利用該郵箱，獲取用戶更多的個人隱私。

4、真實情況泄露。這主要指的是網民的一些真實生活情況會被網上泄露，典型的如“虐貓女”、“銅須門”、“最牛小三”、“北師大美女副總裁”事件等。發生泄露之后，人們的正常生活會遭到嚴重影響。

5、病毒和掛馬網站。用戶的郵件賬號、QQ號、MSN賬號泄露后，經常會收到木馬網站鏈接、釣魚網站鏈接等。如果不做好防備，很容易中毒。

上述這些泄密問題，往往存在于博客、社交網站、論壇上，而社交網站由于兼具博客和論壇功能，其危險性更是不容低估。
 
第二節 社交網站的七種安全風險

作為目前火熱的社交網站，其中的領先者通常有數千萬注冊用戶。據業內人士估計，排行前列的社交網站，一般會在北京擁有用戶300萬以上，上海300萬以上，廣州200萬以上。根據其經營策略的不同，人群分布會有不同，比如有的側重于白領、有的側重于學生等等。如此巨大的用戶群體，一旦發生個人隱私泄露，其危害不容低估。

在流行的社交網站中，要求用戶填寫的個人資料包括：性別、年齡、教育程度、工作情況、婚姻情況、真實照片、手機號碼等。如果用戶要使用網站的交友功能、游戲功能，通常還要提供更多的信息，包括：MSN賬號密碼、QQ帳號密碼、Outlook郵箱通訊錄?？梢哉f，如果網民將這些信息全部填寫完畢，那就幾乎沒有任何隱私可言。

而且，根據瑞星的調查分析，通過“查找朋友”、“游戲邀請”等方式引誘用戶填寫隱私資料、對其好友進行頻繁騷擾，并不是某個網站的單獨行為，而已經成為很多SNS借以吸引用戶的重要手段，幾乎所有網站都在采用，幾乎成為社交網站最為重要的“潛規則”。而正是這些潛規則，對用戶的安全構成了嚴重威脅。

經過本報告撰寫團隊的仔細分析，目前國內社交網站在用戶的個人隱私保護方面，存在七種主要的安全風險:：

第一、利用引誘、誤導等方式，鼓勵用戶填寫MSN和QQ的賬號、密碼。

例如，在新用戶注冊某網站的時候，彈出的注冊界面就是“你的MSN賬號”、“你的MSN密碼”，讓人誤以為只能用MSN賬號和密碼來登陸該網站。實際上，你可以任意填寫可用的郵箱帳號，任意填寫密碼即可登陸。
 

在注冊登陸之后，網站還會在很多環節要求用戶提供MSN賬號密碼。例如，在“查找好友”功能、“爭車位”游戲、“買房子”游戲中，都會不斷出現對話窗口，要求用戶填寫自己的MSN帳號和密碼。
 
目前，包括MSN帳號密碼、QQ帳號密碼等信息填寫與否，已經成為衡量社交網站注冊用戶質量的重要因素，因此這些網站都在不惜一切手段鼓勵用戶填寫真實資料。

在幾年前，一個名為“中國緣”的網站就曾經大規模利用用戶填寫的MSN賬號和密碼發送可疑程序、商業廣告等，從事流氓行為。根據瑞星檢測，目前絕大多數社交網站還僅僅是收集用戶的MSN賬號，并沒有像“中國緣”那樣進行大規模的流氓利用。但是，其中蘊含的隱私泄露風險是不言而喻的。

第二、通過游戲積分獎勵、優先享受新功能等方式，鼓勵用戶填寫自己的真實情況。

無論風險投資人（VC）還是行業分析專家，對于社交網站注冊用戶的衡量標準，就是其用戶的真實程度如何。用戶填寫的個人資料越詳細，就越有商業價值。因此，所有的社交網站都在鼓勵用戶填寫真實資料。但提供的安全保護卻并不充足。

例如，在某網站注冊用戶的時候，會要求用戶上傳真實頭像，旁邊的注釋寫著：上傳真實頭像的好處，無限容量郵箱，更多的游戲獎勵……等等。同樣，很多社交網站采取邀請朋友注冊送積分、送更大的博客空間等方式，引誘用戶把自己的郵箱密碼、通訊錄等私密資料交給網站。

盡管在這些網站有提醒：完成此功能后請修改密碼，但很多安全意識不強的用戶會自動省略這一步驟，從而造成個人隱私泄露。這樣，為了更快的升級，更好的游戲體驗，很多不了解安全風險的用戶，自然會選擇填寫真實資料。

下圖：幾乎所有社交網站都開通了多種邀請好友的方式，涉及Outlook通訊錄、MSN密碼、Foxmail通訊錄等三種個人隱私。
 
 
第三、鼓勵網民將網站帳戶與手機綁定，建立手機信息庫，存在隱私泄露風險。

絕大多數SNS網站都帶有手機驗證、手機綁定、用手機取回密碼等功能，該功能的存在，雖然能夠方便用戶的使用，但很可能帶來隱私泄露的風險。尤其是有些中小SNS網站通過建立用戶的手機信息庫，可以出售給商家，向用戶的手機大量發送商業短信等。

此前，也曾經出現過由于網站倒閉而出售用戶數據庫；或者聘任有道德問題的員工，竊取公司的用戶數據庫；被黑客攻擊，盜取用戶數據庫等。一旦發生上述問題，就會出現用戶的手機號、郵箱、生日、銀行卡號等個人情況泄露，被出售、轉賣，被人利用來進行黑客攻擊、商業利益等。

第四，網站的隱私保護設計，完全以“方便”為立足點，漠視用戶的“安全風險”。

在所社交網站站（SNS）的架構設計、功能設計中，一開始就是完全以“方便用戶”、“吸引用戶注冊”為根本思想，漠視這些方便性的設計可能給用戶帶來的安全風險。例如，在某網站的“查找好友”功能中，如果你填寫了MSN賬號和密碼，則你所有的MSN好友列表都會被保存到服務器上，當你的MSN好友再注冊某網站時，則你們會自動成為好友。

毋庸諱言，這種功能設計會給用戶帶來非常方便的體驗，而且加強了用戶的互動，有利于“黏住”用戶。但是，這個設計在安全上的風險也是顯而易見的。例如，如果你在淘寶上出售東西，為了方便聯系把其加為MSN好友。當兩個人同時在開心網注冊時，則你們會自動成為好友。

而且，某網站默認的隱私保護級別是：兩個好友可以相互瀏覽對方的私密信息，如手機號、家庭住址、婚姻情況、教育情況等私人信息都可以被看到。如果你采用默認設置，你的信息就會被這個“陌生人”看到，產生不可測的安全風險。

第五，網站使用大量ajax技術，很容易產生XSS和CSRF攻擊，使用戶電腦中毒，網銀賬戶失竊等。

社交（SNS）網站容易遭到的病毒類安全風險主要有兩類：一類是因為采用ajax技術而導致的蠕蟲攻擊，如Myspace、國內的51.com、校內網都曾經出現過各自的網內蠕蟲，這些蠕蟲通過利用個人空間、模板上的bug，可以自動向用戶的好友發送帶毒鏈接，用戶瀏覽后就會中毒。

另外一類是由于SNS網站對cookie的不恰當使用，而導致黑客可以輕易發動CSRF攻擊。所謂CSRF攻擊，指的是Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding，通?？s寫為CSRF或者XSRF，是一種對網站的惡意利用。

例如，有的SNS網站為了讓用戶經常登陸，利用一個永久有效的Cookie，讓用戶永久保持在登陸狀態。這樣，用戶只要輸入網站的網址，不用填寫自己的賬號和密碼，就可以登陸，使用SNS網站的各種功能。只要黑客拿到機器上儲存的這個Cookie，就可以以用戶的身份做任何事情。

這只是CSRF攻擊最簡單的利用，更復雜的利用包括：如果用戶登錄到網銀賬號，則黑客可以通過成功的CSRF攻擊，從用戶的帳號里轉走錢財?；蛘撸诤笈_“幫用戶購買并不需要的商品”。

第六、頻繁騷擾注冊用戶的聯系人，誘騙其注冊自己的網站，并發送商業廣告。

大多數交友網站（SNS）社交網站用戶MSN賬號、郵件帳號密碼、手機號碼等資料之后，會對其進行大規模的商業利用。最為常見的方式，就是向用戶的MSN好友發送商業廣告，或者向用戶foxmail通訊錄中的郵件地址發送邀請注冊信件。尤其是一些網站，會發送帶有曖昧的字眼的郵件，通過利用用戶的好奇心理，吸引他們注冊，騙取其手機號、MSN賬號等私人信息。

典型案例：“我從來沒有去過任何交友網站，也不愛玩這個，今天突然收到一朋友的電子郵件寫著《我想跟你明確關系》，點郵件里的鏈接后出現一個頁面，直接要求我填寫MSN賬號和密碼，這是怎么回事啊？是病毒嗎？”北京網民張先生向瑞星客戶服務中心的工程師詢問。根據瑞星安全工程師查證，這可能是一起的社交網站騙取用戶個人隱私信息的行為。

圖1

 （張先生收到的郵件）

圖2

 （該網站直接要求張先生提供MSN密碼）

 
前一段時間，一個名為“熱血三國”的游戲，由于向MSN用戶大規模發送商業鏈接，被多家媒體廣泛關注。有的用戶以為自己中毒才受這些垃圾信息的騷擾，而實際上，這是用戶的MSN賬號泄露后，那些廣告廠商利用MSN機器人主動發送的商業信息。

第七、用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給人肉搜索、黑客詐騙帶來方便。

對于用戶來講，交友網站是個真實的社交網站場所，而在論壇發貼、發表博客的同時，很容易泄露自己的隱私、個人情況。一旦被人惡意利用，則會出現不可預料的后果。例如，曾經鬧得沸沸揚揚的“史上最牛小三”、“銅須門”等事件，就讓當事人陷入非常尷尬的地步。

尤其是國內流行的“人肉搜索”，目前主要搜索的領域還是先有論壇、博客等。如果將來擴展到對交友網站的利用，則社交網站隱私的安全按威脅，也將比現在擴大許多倍，更會讓普通用戶面臨毫無隱私的地步。而這些隱私如果被黑客利用，則其詐騙成功率也會大大增加。

圖3

（淘寶網上出售的賬號，如果被黑客購買，那賬號好友的隱私，則處于不設防狀態）

交友網站通過“免責聲明”規避法律責任

事實上，絕大多數交友網站已經意識到社交網站提到的安全風險，他們通過各種“免責聲明”、“用戶注冊須知”等方式，對自己的法律責任進行了規避。

例如，某網站的注冊幫助中寫到“本公司對直接、間接、偶然、特殊及繼起的損害不負責任，這些損害來自:不正當使用產品服務，在網上購買商品或類似服務，在網上進行交易，非法使用服務或用戶傳送的信息有所變動。”

又比如，某網站的隱私保護中寫到“用戶須明白，在使用我們提供的服務存在有來自任何他人的包括威脅性的、誹謗性的、令人反感的或非法的內容或行為或對他人權利的侵犯（包括知識產權）的匿名或冒名的信息的風險，用戶須承擔以上風險，**網和合作公司對服務不作任何類型的擔?！?/P>

通過類似的條款，那些交友網站撇除了自己社交網站的責任。