瑞星發(fā)布《社交網(wǎng)站安全報告》社交網(wǎng)站存在七大安全風(fēng)險 可能成為用戶隱私泄露重災(zāi)區(qū)3月30日，瑞星公司發(fā)布《網(wǎng)民隱私與社交網(wǎng)站（SN S）安全報告（2009）》，針對目前非常熱門社交網(wǎng)站用戶發(fā)出安全

瑞星發(fā)布《社交網(wǎng)站安全報告》

社交網(wǎng)站存在七大安全風(fēng)險 可能成為用戶隱私泄露重災(zāi)區(qū)

3月30日，瑞星公司發(fā)布《網(wǎng)民隱私與社交網(wǎng)站（SN S）安全報告（2009）》，針對目前非常熱門社交網(wǎng)站用戶發(fā)出安全警告。報告指出，網(wǎng)民在社交網(wǎng)站注冊個人資料之后，很容易遭遇手機(jī)號泄露、MS N 和郵箱賬號密碼被盜用等七大安全風(fēng)險，而利用各種方式騙取網(wǎng)民個人資料用以牟利，已經(jīng)成為社交網(wǎng)站利潤的重要來源?！拔覐膩頉]有去過任何交友網(wǎng)站，也不愛玩這個，今天突然收到一女性朋友的電子郵件，題目寫著《我想跟你明確關(guān)系》

，點郵件里的鏈接后出現(xiàn)一個頁面，直接要求我填寫MSN 賬號和密碼，這是怎么回事啊？是病毒嗎？”北京網(wǎng)民張先生向瑞星客戶服務(wù)中心的工程師詢問。根據(jù)瑞星安全工程師查證，這可能是一起社交網(wǎng)站騙取用戶個人隱私信息的行為。

（張先生收到的郵件）

（該網(wǎng)站直接要求張先生提供MSN 密碼）瑞星互聯(lián)網(wǎng)攻防實驗室和瑞星客戶服務(wù)中心的統(tǒng)計研究表明，目前國內(nèi)網(wǎng)民的個人隱私泄露情況已經(jīng)達(dá)到了相當(dāng)嚴(yán)重的程度，而造成這種情況的主要原因，已經(jīng)從“木馬病毒小規(guī)模竊取”逐步轉(zhuǎn)變?yōu)樯虡I(yè)公司的有目的收集，這些商業(yè)公司誘導(dǎo)網(wǎng)民泄露隱私，然后記錄用戶隱私并牟利，而一些社交網(wǎng)站則表現(xiàn)得尤為突出。

2006年9月，一個叫“中國緣”的流氓網(wǎng)站被媒體曝光，從此開啟了“社交網(wǎng)站流氓式發(fā)展”的序幕；期間，多個流氓社交網(wǎng)站被媒體曝光，最近的一個案例是，2009年3月，網(wǎng)游“熱血三國”因為采用流氓式推廣被文化部

萬方數(shù)據(jù)

查處。要進(jìn)行這些流氓式推廣，廠商首先要獲取用戶的M S N 賬號、郵箱等私人信息，而社交網(wǎng)站正充當(dāng)著這個“個人信息提供商”的角色。時至今日，搜索關(guān)鍵字“中國緣 流氓”，依然能找到數(shù)十萬個相關(guān)消息和用戶帖子。 根據(jù)瑞星安全人員的分析，目前社交網(wǎng)站存在的七種主要安全風(fēng)險包括：

（1）利用引誘、誤導(dǎo)等方式，鼓勵用戶填寫M S N 和QQ 的賬號、密碼。

（2）通過游戲積分獎勵、優(yōu)先享受新功能等方式，鼓勵用戶填寫自己的真實情況。網(wǎng)站提供的安全保護(hù)，卻存在很多問題。

（3）鼓勵網(wǎng)民將網(wǎng)站賬戶與手機(jī)綁定，建立手機(jī)信息庫，存在隱私泄露風(fēng)險。

（4）網(wǎng)站的隱私保護(hù)設(shè)計，完全以“方便”為立足點，漠視用戶的“安全風(fēng)險”。

（5）網(wǎng)站使用大量A j a x 技術(shù)，很容易產(chǎn)生X S S 和CSRF 攻擊，使用戶電腦中毒，網(wǎng)銀賬戶失竊等。（6）頻繁騷擾注冊用戶的M S N、郵件聯(lián)系人，誘騙其注冊自己的網(wǎng)站，甚至直接騙取隱私信息，以及推送

廣告。

（7）用戶在游戲、交流的過程中很容易泄露自己的真實情況，可能給黑客詐騙帶來方便。

據(jù)業(yè)內(nèi)人士估計，在大中型城市的15至30歲的網(wǎng)民中，有95以上會注冊一個或幾個社交網(wǎng)站，所以其帶來的安全風(fēng)險、個人隱私風(fēng)險十分嚴(yán)重。在瑞星公司的測試中，用一個擁有30名好友的MSN 賬號注冊某社交網(wǎng)站，

登錄后發(fā)現(xiàn)，好友中的16人填寫了自己的MSN 賬號密碼，把好友列表存儲在該網(wǎng)站的服務(wù)器上。這些隱私信息一旦泄露，后果不堪設(shè)想。

據(jù)國外媒體報道，目前包括M y S p a c e 賬號、Facebook 賬號等國外社交網(wǎng)站的資料，都可以在黑市上買到，單個賬戶的價格根據(jù)活躍等級、完善程度從幾美分到幾美元不等。根據(jù)調(diào)查，歐盟成員國54％的家長因此擔(dān)心自己的孩子遭受網(wǎng)絡(luò)暴力。在歐盟委員會的協(xié)調(diào)下，包括YouTube、雅虎（歐洲）、MSN、MySpace和Facebook 在內(nèi)的17盟未成年人的協(xié)議。

CNNIC 推出自主研發(fā)的服務(wù)器域名證書--網(wǎng)址衛(wèi)士

目前網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)釣魚正成為繼病毒木馬之后的重大網(wǎng)絡(luò)危害行為，網(wǎng)絡(luò)信息安全環(huán)境越來越復(fù)雜，基于域名的網(wǎng)絡(luò)安全服務(wù)成為治理網(wǎng)絡(luò)環(huán)境的重要一環(huán)。

中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)日前在北京召開“繁榮·誠信·互聯(lián)網(wǎng)——綠色網(wǎng)絡(luò)安全行動暨網(wǎng)址衛(wèi)士國際認(rèn)證新聞發(fā)布會”。會上隆重宣布，由C N N I C 自主研發(fā)的服務(wù)器域名證書——網(wǎng)址衛(wèi)士順利通過全球最權(quán)威、最嚴(yán)謹(jǐn)?shù)腤ebtrust 安全標(biāo)準(zhǔn)審計，并成為國內(nèi)首款得到

微軟IE 等世界主流瀏覽器信任的服務(wù)器域名證書。

開展了相應(yīng)的技術(shù)研發(fā)和服務(wù)，在假冒釣魚網(wǎng)站層出不窮的形勢下，服務(wù)器域名證書具有廣泛的用戶需求，各國政府都非常重視，加快部署域名安全技術(shù)。目前服務(wù)器域名證書應(yīng)用領(lǐng)域非常廣泛，全面覆蓋財稅、金融、保險、IT等眾多行業(yè)，是網(wǎng)上支付、發(fā)布指令或信息、網(wǎng)民私密信息等重要信息實現(xiàn)網(wǎng)絡(luò)間安全加密傳輸?shù)闹匾Ｕ稀?/p>

中國反釣魚網(wǎng)站聯(lián)盟發(fā)布的《2009年網(wǎng)絡(luò)信息安全熱點數(shù)據(jù)》顯示，近8成網(wǎng)民擔(dān)心在網(wǎng)上填寫的個人資料安全狀況。 而CNNIC 此次推出的網(wǎng)址衛(wèi)士兼具網(wǎng)站身份確認(rèn)、信息傳輸加密、網(wǎng)站防偽標(biāo)識三重功能。其嚴(yán)謹(jǐn)?shù)膶徍肆鞒?、國際主流安全加密技術(shù)，可力阻釣魚網(wǎng)站，幫助網(wǎng)民實現(xiàn)用戶與網(wǎng)站之間交互數(shù)據(jù)信息的加密傳輸，防止機(jī)密信息泄露或被篡改，保證信息的完整性、安全性。

據(jù)了解，Webtrust是由世界兩大著名注冊會計師協(xié)會(美國注冊會計師協(xié)會，AI C P A 和加拿大注冊會計師協(xié)會，CI C A ) 制定的安全審計標(biāo)準(zhǔn)，主要對申請對象的系統(tǒng)及業(yè)務(wù)運作邏輯安全性、保密性等共計七項內(nèi)容進(jìn)行近乎嚴(yán)苛的審查和鑒證。只有通過Webtrust 國際安全審計認(rèn)證，才有可能成為全球主流瀏覽器根信任的證書簽發(fā)機(jī)構(gòu)，也只有取得瀏覽器根信任的機(jī)構(gòu)頒發(fā)出的證書，才能真正意義上的防止釣魚網(wǎng)站的出現(xiàn)，保障網(wǎng)站的利益、保障全體網(wǎng)民及各企事業(yè)團(tuán)體的自身利益。

借此次發(fā)布會，CN N I C 聯(lián)合了殺毒行業(yè)、中國反釣魚網(wǎng)站聯(lián)盟等力量啟動了“綠色網(wǎng)絡(luò)安全行動”，旨在建立網(wǎng)絡(luò)危害行為協(xié)同應(yīng)對平臺，共享網(wǎng)絡(luò)危害行為監(jiān)測數(shù)據(jù)，攜手合力共同治理病毒、木馬和假冒釣魚網(wǎng)站等三大互聯(lián)網(wǎng)“毒瘤”。

CNNIC 網(wǎng)址衛(wèi)士通過國際安全認(rèn)證并實現(xiàn)“CNNIC根”(CNNIC root) 嵌入在全球主流瀏覽器，中國擁有了自主研發(fā)的服務(wù)器域名證書，實現(xiàn)了在瀏覽器中根信任零的突破，有助于我國進(jìn)一步提升了國內(nèi)企業(yè)及個人網(wǎng)上信息安全保障水平，實現(xiàn)我國服務(wù)器域名證書服務(wù)的自主管理、自我發(fā)展和自我完善的目標(biāo)。

服務(wù)器域名證書順應(yīng)當(dāng)今世界域名安全技術(shù)(DNSSEC)趨勢，國際上主流的域名注冊管理機(jī)構(gòu)基本都

除了網(wǎng)民提高自我防范意識之外，瑞星安全專家建議，鑒于目前個人隱私保護(hù)不利的情況，國家相關(guān)部門應(yīng)該出臺針對性的法律、規(guī)章，通過法律途徑或者是行業(yè)規(guī)范對利用個人隱私牟利的企業(yè)行為做出查處。同時，社交網(wǎng)站行業(yè)應(yīng)該主動進(jìn)行行業(yè)自律，不能只看到侵害用戶隱私帶來的短期利益，而要維護(hù)行業(yè)長期的健康發(fā)展。

針對上述隱私安全問題，瑞星安全專家建議普通網(wǎng)民采取如下措施：

（1）要嚴(yán)密防范S N S 網(wǎng)站的蠕蟲攻擊。對于普通用戶來講，可以安裝免費的“瑞星卡卡上網(wǎng)助手6.0”，利用其中的漏洞掃描功能，彌補(bǔ)系統(tǒng)漏洞；安裝瑞星殺毒軟件，其中的基于云安全系統(tǒng)的“防掛馬模塊”，可以利用行為分析方法，攔截SNS 網(wǎng)站上的盜號木馬、蠕蟲等。（2）在社交網(wǎng)站填寫任何個人資料之前，都要了解到

其中蘊含的風(fēng)險。盡量不要在社交網(wǎng)站填寫過于詳細(xì)的個人資料。尤其是自己的收入水平、婚姻狀況，自己是否買股票、基金等個人隱私，很容易被有心人利用，進(jìn)行商業(yè)推廣和詐騙。

（3）不要輕易加M S N 好友、QQ 好友、SN S 網(wǎng)站好友。隨著SNS 網(wǎng)站的發(fā)展，這些個人資料往往有集中、整合的趨勢，例如，你一旦加了某人為M S N 好友，則他在很多S N S 網(wǎng)站會自動成為你的好友。這樣，即使是一個十分陌生的人，也可能了解到你最隱私的個人資料。這樣帶來的安全風(fēng)險是不言而喻的。

（4）在使用S N S 網(wǎng)站時，要充分利用其安全機(jī)制。例如，通過S N S 網(wǎng)站邀請好友時，如果輸入了自己的M S N 賬號密碼、郵箱賬號密碼，在使用完該功能之后要馬上修改密碼。這樣，就可以規(guī)避掉一些安全風(fēng)險。