社交网络中的隐私泄露问题研究.docx
《社交网络中的隐私泄露问题研究.docx》由会员分享,可在线阅读,更多相关《社交网络中的隐私泄露问题研究.docx(24页珍藏版)》请在冰点文库上搜索。
社交网络中的隐私泄露问题研究
社交网络中的隐私泄漏问题
本文将从以下四个方面:
研究背景、人人网的隐私泄漏问题,社交网络中隐私泄露的方式以及社交网络隐私泄露的防范,来介绍社交网络中的隐私泄漏问题。
一、研究背景
1,社交网络的兴起
社交网络即社交网络服务,源自英文SNS(SocialNetworkService)的翻译,中文直译为社会性网络服务或社会化网络服务,意译为社交网络服务。
社交网络含义包括硬件、软件、服务及应用,由于四字构成的词组更符合中国人的构词习惯,因此人们习惯上用社交网络来代指SNS(SocialNetworkService)。
社交服务网站的发展验证了“六度分隔理论”(SixDegreesofSeparation),即“人际关系脉络方面你必然可以通过不超出六位中间人间接与世上任意先生女士相识”。
个体的社交圈会不断地扩大和重叠并在最终形成大的社交网络。
将“朋友的朋友是朋友”原则应用到互联网世界,从而发展实现了线上社交网络。
“六度空间”理论的提出,打开了互联网世界的另一扇大门,将早期社交性网络的概念引入互联网,创立了面向社会性网络的互联网服务SNS。
目前,社交网络服务已经成为互联网最热门的话题之一,也成为投资圈最为炙手可热的追捧领域。
回首SNS的发展,回首SNS的发展,从国外的MySpace、Facebook、Twitter到中国的开心网、人人网等泛娱乐SNS应用,再到目前中国大行其道的微博、米聊(微博)、微信,乃至垂直类SNS的应用形态,社交网络服务的概念深入互联网精髓。
一定意义上来看,社交网络其实是源于网络社交的需要,基于此种思路,清科研究中心认为,中国社交网络的发展历程主要呈现四种阶段,如下图所示:
第一阶段,早期社交网络雏形BBS时代,第二阶段,娱乐化社交网络时代,第三阶段,微信息社交网络时代,第四阶段,垂直社交网络应用时代。
图1社交网络发展的四个阶段
社交网络发展的进程如下图所示:
图2社交网络发展的进程
从图中,可以看出,当前是社交网络发展快速膨胀发展的一个时期,无论是用户人数还是商业价值上都在快速增长。
2,社交网络的现状
CNNIC(中国互联网络信息中心)09年11日下午在北京发布了《2009中国网民社交网络应用研究报告》,这一部分,我主要从这份关于社交网络的报告作为数据来源,来介绍当前社交网络的现状。
下面是其中的部分数据:
(1)社交网站用户规模将达1.24亿
随着各类SNS网站在竞争中快速发展,用户规模迅速增长,根据 CNNIC测算,截止到2009年底,中国使用交友和社交网站的网民数将达到1.24亿。
(2)社交网站用户年龄低 学历以中高学历为主
社交网站用户年龄的年轻化特征非常突出,用户群以20-29岁的青年为主,占到半数以上,达到52.6%,在这一年龄段高出全国网民平均水平22.8个百分点,而在其他年龄分段上,均低于全国网民的平均水平。
由于相当一部分社交网站的用户对象是学生群体,而这部分网站用户又以大学生为主,在整体上拉高了这一年龄段用户的比例。
大专以上学历的用户占到了社交网站用户的近六成水平,达到59.1%。
大专学历的用户为21.3%,比全国平均水平高出8.6个百分点;大学本科以上学历的用户占到37.8%,超过全国平均水平25.4个百分点。
(3)学生和职场人士是社交网站用户的主体
用户是社交网站发展的根本驱动力量,无论社交网站拓展哪一种商业模式,用户消费能力的高低,对于广告的接受程度等均将限定网站的价值。
在互联网网站盈利模式较大程度上依赖广告的情况下,网站用户的各种基本属性,在整体上决定了网站价值。
同时,网站用户对于商业信息的接受程度,将对用户商业行为的参与产生直接影响,也成为决定网站未来进一步商业化的重要因素。
在社交网站用户的职业分布中,学生和职场人士是社交网站用户的主体。
其中学生群体是社交网站的最大用户群体,比例达到50.3%。
党政机关事业单位工作者,企业/公司管理者,企业/公司一般职员这几类人群中,社交网站的用户群体也比较集中,其总和占到用户总数的31.1%。
(4)四成用户每周登录一次 34%社交网站用户每天登录使用
调查显示,社交网站的使用频次呈现长期和短期两极分化的态势,每周或更长时间一次的占40.2%,在用户群体中占最大的比例,而每天都使用的为34.3%,其中一次访问的占17.9%,每天两次以上的占16.4%。
图3社交网站使用频次图
(5)六成用户使用社交网站的日均时长小于一小时
受到日益普及的社交游戏的影响,由于社交游戏中的许多行为不需要即时处理,行为也无需同步,用户不需要长时间排他性地专注于网站的使用,玩家可以自行安排时间,每日登录几次进行事件处理,总体上缩短了对网站的使用时间。
有60.6%的社交网站用户日均使用时间在1小时以下,有26.6%的用户每天使用1~2小时,有12.8%的用户每天平均使用网站达两个小时以上。
图4社交网站用户上网时长图
(6)社交网站用户最经常使用沟通和自我表现类功能
沟通和自我表现,作为最基础的社交网站功能,应用程度较高。
给好友留言成为用户常使用的功能,占到51.2%。
与用户最为关注“更新相册”的行为相对应,图片/相册功能的利用率达到48.6%,博客/日志功能的使用率达到了41.5%。
(7)高学历用户对社交网站添加即时通讯、第三方支付、C2C感兴趣
硕士及以上学历的用户偏好于即时通讯、第三方支付、用户间的真实物品交易(C2C),分别有32.1%、52.8%、24.5%的硕士及以上学历的用户表示希望在社交网站中增加以上三类服务,与其他各学历人群相比最高。
有45.6%和47.8%的初高中学历用户倾向于可以在手机上使用社交网站。
小学及以下学历的用户中有47.5%偏好社交网站中的网页游戏。
从上述数据,我们可以得出下面的推断:
(1)社交网络用户群体数目庞大,用户活跃度高,但职业比较单一,以学生,职场人士为主。
(2)用户最经常使用沟通和自我变现类功能,自然地就为隐私泄露提供了源头。
(3)用户对第三方支付和C2C使用较多,使得用户隐私的潜在价值很高。
3,社交网络中的隐私分类和隐私潜在价值分析
天下熙熙皆为利来,天下攘攘皆为利往。
社交网络中用户隐私的泄露根源在于用户隐私的价值。
这一小节,来分析一下,社交网络一般会有用户的哪些隐私,以及这些隐私的价值何在?
在2011年暑假的时候北京理工大学的学生在问卷星网站上做过一个关于社交网络隐私权问题的调查,这次调查的有效问卷是618份,数据是真实可信的。
下面我引用里面的一个数据,问卷中有两项是:
第13题您在社交网络上填写了哪些真实的个人信息[多选题]
选项
小计
比例
姓名
450
66.1%
性别
577
84.7%
出生日期
414
60.8%
照片
360
52.9%
手机号码
127
18.6%
MSN/QQ
359
52.7%
通信方式
150
22%
学校或工作单位信息
324
47.6%
所就读的专业或者班级
148
21.7%
兴趣爱好
379
55.7%
职务/职称
66
9.7%
其他
46
6.8%
本题有效填写人次
681
数据分析的柱状图如下:
图5社交网站上填写的个人真实信息柱状图
从这里面我们可以看到,个人隐私涉及比较多的有:
姓名,性别,出生日期,照片,MSN/QQ,学校或工作单位信息,兴趣爱好。
这几个信息超过50%的受访者在他们的社交网络中都有透漏。
第15题您认为社交网络环境中您的什么信息最为宝贵[单选题]
选项
小计
比例
我的信息不过是那些个人身份识别信息(住址、身份证、电话等)
403
59.2%
我的信息还包括我的网络行为和网络习惯
75
11%
我的信息还包括我在网络上的性格和形象
44
6.5%
我的信息还包括我在网络上的所有社交行为
62
9.1%
我的信息还包括我在网络上的好友信息和我所有好友的资料
97
14.2%
本题有效填写人次
681
图6社交网站个人信息价值调查柱状图
从用户自身角度来看,他们认为自身隐私中最有价值的是:
个人身份识别信息。
我认为,用户隐私信息潜在的价值有以下几个方面:
(1)对于邮箱,MSN/QQ,这是网络宣传营销的重要途径,贩卖用户的这些信息可以获取价值。
(2)利用用户的照片,上网习惯等做出分析,然后进行精准营销,也是获取用户隐私的价值。
(3)获取用户隐私后,在进一步攻破用户的网上银行或支付宝等,来获取利益。
二、人人网的隐私泄漏问题
人人网于2008年7月正式运营,拥有真实注册用户超过4000万,日登录2200万人次。
人人网基于博客和日志功能起家,是国内最早的校园SNS社区,以中国一线城市大学生为主要用户群体,且稳居同类社交网站中的垄断地位。
在这一节中给出人人网隐私泄露的几件“大事”,使我们对社交网络隐私泄露有一个感性的认识。
1,唾手可得的隐私信息
用户隐私问题一直是互联网上一个比较敏感的话题,随着SNS网站的出现及快速发展,用户隐私问题也变得异常严重。
从目前我国SNS网站的服务人群来看,主要的用户为学生、白领及其他一些特定的人群,且此类网站大多数为强制实名制,因此使得此类用户的隐私信息更容易暴露在其他用户面前,如果恶意黑客利用此类信息那么后果将难以想像。
我们通过人人网的搜索功能,搜索“韩梅梅”,从结果稍加选取就可以进入其中一个人的个人主页查看其账户的个人信息:
图7韩梅梅的个人主页
该用户的个人信息对外都是可见的,那么如果黑客结合搜索引擎进行“人肉搜索”的话,那么获取到的将会是更多可被黑客恶意利用的敏感信息,利用用户的个人信息或其他隐私信息,黑客便可以进行钓鱼攻击或者欺诈等。
此外还可以进行跳板式获取隐私信息。
虽然某些SNS网站对用户信息相关数据有完备的隐私控制策略,但是这种策略并非不能够被黑客加以利用。
在人人网上对用户的信息查看时,我们发现,如果用户设置了相应的隐私控制策略以后,一般用户是无法访问该用户的个人主页信息的,如图8所示:
图8赵雅卿卿的个人主页
但是,从页面中我们仍然可以看到可以被黑客利用的内容,那就是该用户的好友信息,如图2中红框选中的部分。
结合SNS网站所具有的极强交互性的特点,可以通过该交互寻找到不同用户之间的关系,即所谓的社交网络虚拟人际关系网。
2,一封邮件引发的危机——人人网售卖用户隐私
2010年9月网友一阁(@yegle)的Gmail收到了一封来自团购网站的宣传邮件,但是这家团购网站他没有什么印象,从来没有注册过,那么他们又是从哪里获取到自己资料的呢?
这时候他注意到网站使用的会员ID是“请使用真实姓名”,这让他想起自己的人人网ID被封禁,之后被管理员修改名字为“请使用真实姓名”。
很显然,他在人人网的隐私信息被泄漏了。
图9yegle收到的团购网站的邮件
上图是yegle展示的证据:
人人网账号被封之后被管理员修改名字为“请使用真实姓名”,现在收到了这样一封垃圾邮件。
(网络图片)
yegle特别说明收到的不是来自千橡旗下糯米团的邮件。
但实际上,在没有得到用户授权情况下,即使是糯米团也是不能使用用户资料的。
图10yegle给出的证明
经过查询,发送邮件的网站是一家Alexa排名近百万的女性网站,团购频道应该是最近开通的,并且这一网站与人人网没有任何关系。
很明显,M团购网站像人人网购买了用户隐私信息,进行网站推广。
3,人人网站内信漏洞事件
2011年4月29日晚,大量人人网用户收到一个标题为《有人暗恋你哦,你想知道TA是谁么》的站内信,用户发现若打开此站内信将会自动将此站内信内容发给所有好友。
通过查看站内信网页源码,发现其中有一行代码为由于此站内信的传播之广泛,目前只知道此域名几乎是针对性的使用并且托管在美国,唯一能稍微解决此问题的方法是所有会写代码的人都写一个脚本随机生成数据去稀释被上传的数据,当然要在其收手前做完。
这次事件直接导致大量用户隐私被泄露,被不法分子用作他用。
4,人人网登陆账号的漏洞
我们都知道,人人网账号是用邮箱申请的,而邮箱的作用也众所周知,一是开始是做账号确认用,二就是用来找回密码。
但人人并不关心该邮箱是否一直有效,而我们都知道,很多邮箱如果一段时间不登陆就会被注销(如网易3个月)。
这就造成了以下事实:
某人给一个很久不联系(不用邮件联系,人人上仍联系)的人发电子邮件,结果被系统退信,原来是他那个熟人长时间不登陆该邮箱,已被网易注销。
我这个同学恰好知道那人就是用这个邮箱申请的人人账号(人人账号仍在用),于是他做了以下事情:
一、先去网易申请此邮箱名(可以申请)
二、去人人登陆页,点击“忘记密码”
三、登陆刚申请的邮箱,果然收到人人网发来的更改新密码的链接。
四、更改新密码
五、用该账号和新密码登陆那个人的人人账号,成功。
我们知道,由于一些原因,至少有相当一部分人的人人账号不是用常用邮箱申请的,有的甚至在申请成功后就再没有登陆过该邮箱,而超过三个月邮箱就会被注销!
所以我们可以试一下我们的邮件联系人列表,如果哪个收件人被系统退信,那么我们可以立即去申请该邮箱,并仿照上述步骤盗取人人账号(包括任何用邮件申请的账号)。
通过这个漏洞,就可以直接登录别人的账号,获取隐私了。
5,危机四伏的外挂程序
SNS网站泄露个人隐私信息不仅仅只是以上提到的几个方面,很多第三方应用也会有不少安全问题。
例如,网上很多针对人人网“刷人气”、“刷等级”外挂软件倍受用户青睐,而这些程序通常也会有这样那样的问题。
图11人人网应用程序列表
瑞星安全的一份调查报告中发现,网络上有很大一部分外挂或辅助软件为“伪外挂”程序,即该类软件根本无法实现“刷人气”、“刷等级”等作用,而其主要功能是盗取用户的账号密码信息等内容。
由于该类软件对外宣称实现的是“刷人气”、“刷等级”的作用,所以“名正言顺”地要求用户在软件运行时输入SNS网站的个人账户及密码信息,而软件在获取账号密码信息以后除了向SNS网站发送该信息外,还会向黑客的服务器发送用户的账号和密码信息,如图12所示。
图12外挂辅助软件盗用用户账号和密码信息
在图5所示的案例中用户的账号和密码信息被提交到了黑客的网站服务器w#,黑客在接收到用户账号和密码信息以后,就可以使用正确的账号和密码信息登录,由此而带来的危害是无法想像的。
综上,我们以人人网为例,了解了社交网络中隐私泄露的基本的表现形式,使我们对隐私泄露有了初步的认识。
三、社交网络中的隐私泄露
在这一节,我将根据自己了解的情况对社交网络隐私泄露的形式进行分类,并在最后列出隐私泄露的可能的危害。
1,用户自身的疏忽导致隐私泄露
几乎所有的社交网站都有个人信息访问权限的设置,例如可以设置陌生人看到哪些信息,好友可以看到哪些信息。
但是很多用户根本不关心甚至不去设置,使得只要借助站内的搜索引擎,就可以登录到个人主页,获取用户的个人隐私。
下面我还是引用北京理工大学的那份调查问卷中的数据来说明问题。
调查问卷中有下面两个问题:
第14题您是否考虑过您本人在网络上的隐私信息安全问题[单选题]
选项
小计
比例
当然考虑过,我一直很担心自己的个人信息安全
268
39.4%
一般吧,只对部分个人信息的安全抱有担忧
364
53.5%
不考虑这些东西,我认为我的信息是安全的
49
7.2%
本题有效填写人次
681
图13社交网络用户考虑个人信息安全调查的柱状图
第12题您了解社交网站上您的信息可以设置访问权限功能吗[单选题]
选项
小计
比例
这个功能我知道,经常使用
206
30.2%
我看到了但是不经常使用
273
40.1%
用过,不过对我来讲无所谓
156
22.9%
我从来就没看到这功能
46
6.8%
本题有效填写人次
681
图14社交网络用户设置访问权限调查柱状图
从上面的数据我们看到,在有效地681份问卷中,对网络上隐私信息安全问题不太重视,甚至天真的认为很安全的高达400多人,占60%;对社交网站上个人信息设置访问权限功能漠视(包括不经常使用,觉得无所谓,直接不知道)的高达70%,其中竟然有7%的人根本就不知道有这项功能。
用户的疏忽。
就给隐私泄露带来了极大地便利。
2,社交网站自身的原因导致隐私泄露
这种情况有三种小的分类。
(1)网站之间共享用户隐私数据
社交网站之间,或者社交网站与其他网站之间,出于用户互补,或者营销宣传上的考虑,会共享用户的隐私数据,在用户不知情的情况下造成隐私泄露。
例如,2009年12月2号,雅虎宣布了一项与Facebook的合作:
雅虎将认可Facebook的用户注册身份,让他们能与朋友分享博文、照片和其他内容。
未公布的合作协议显示,雅虎希望使用Facebook的用户数据,并在其个人页面上放置针对个人的展示广告。
理论上讲,如果Facebook的用户与网站共享授权,广告主可以通过雅虎向特定人群投放广告。
此外,还有很多可以共享账号的网站,例如人人网注册时,会提示可以用MSN或者360的账号登陆(如图15红线所示),这里面肯定就涉及到用户隐私信息在网站间共享,造成泄漏。
图15人人网可用合作网站账号登陆
这种共享用户隐私信息的现象是在网站间广泛存在的。
(2)社交网站售卖用户隐私信息
更有甚者,社交网站会贪图蝇头小利,将用户邮箱,MSN/QQ,手机号等隐私信息出售,造成隐私信息泄漏。
例如,据新浪科技,北京时间2010年3月18日早间消息,据国外媒体今日报道,MySpace将出售网站信息给第三方,包括学术研究者、市场调研机构甚至营销人员。
这将使社交网站的用户隐私面临更大危险。
MySpace出售的信息将包括用户账户的任何活动内容和信息,也就是说将涵盖博客日志、用户所在地信息、照片、评论和状态更新等等。
网络数据交易公司InfoChimps将负责MySpace信息的出售。
这种用户信息的出售或者公开或者暗地的出卖是非常常见的。
(3)社交网站自身漏洞造成用户隐私泄露
社交网站与其他的网站服务器一样,肯定会存在这样那样的漏洞,这就为不法分子获取用户隐私提供了可能。
据国外媒体报道,WhiteHat的调查发现,目前64%的网站仍含有重大漏洞,而含漏洞比例最高的网站类别则是社交网站,高达86%。
近年来,利用社交网站漏洞造成用户隐私泄露的事件比比皆是。
例如,2011年2月,据国外媒体报道,近日,Facebook网站出现了一个新的安全漏洞。
只要具备相关的链接,Facebook网站的用户就能够访问其他任何在线用户的相册。
3,第三方应用造成隐私泄露
一般的,在社交网络中用户会用到很多的第三方程序。
用户在安装并开始使用第三方程序的时候一般需要签一份隐私说明,即同意该程序获得用户信息。
由于所有程序说明都是一致的,一般用户只要想用这个程序都会同意,这样该程序便获得了用户的资料。
由于目前的架构下,第三方程序都是在各自服务器上跑的,没有任何监控,所以可以任意向外泄露信息,造成严重的隐私安全隐患。
用户隐私泄露可能带来的危害有:
(1)违背用户意愿,用户不想泄露的隐私被其他人知道,侵犯用户的隐私权。
(2)用户收到垃圾邮件,受到广告骚扰。
(3)用户遭遇诈骗,人身攻击,身份盗用,甚至遭受网络钓鱼的危害。
(4)不法分子分析用户隐私数据,其他一些潜在未知危害。
例如,美国曾有一例分析社交网络用户行为习惯而实施的谋杀案。
四、社交网络隐私泄露的防范
在调查问卷中,有两个针对用户隐私保护和隐私受到侵犯后,应对态度的调查。
第18题您认为网络隐私权的保护应该最主要由哪一方来负责[单选题]
选项
小计
比例
用户,应有较强的自我保护意识,主动使用可靠防火墙或避免暴露个人信息
124
18.2%
网络服务商,网络公司需要有保护用户隐私的责任和相关技术
334
49%
政府,通过行政管理、加强立法等途径来保护公民权利
147
21.6%
第三方隐私保护公司,像支付宝一样,个人网络隐私需要由利益独立的第三方隐私保护公司通过安全技术来保护
76
11.2%
本题有效填写人次
681
图16社交网络用户隐私保护责任调查柱状图
第19题当您得个人隐私得到侵犯,您可能会采取下列何种措施[单选题]
选项
小计
比例
无所谓,不关心
49
7.2%
有点小纠结,但不会采取行动
287
42.1%
找到责任方理论,要求赔偿
225
33%
诉诸法律,一定要讨个公道
120
17.6%
本题有效填写人次
681
图17社交网络用户隐私受侵犯后采取的措施调查柱状图
从这个数据我们可以得出结论:
从用户角度来说,网络服务商应该对用户隐私附有最大的责任,其次是用户自己和政府立法部门;在隐私泄漏发生后,有接近一半的人不会采取行动,表示会诉诸法律的不超过20%,这主要是由于违法成本太低,维护合法权益,成本太高造成的。
用户是SNS中的主体,在了解了用户意愿之后,我给出经过调研得到的防范用户隐私泄露的几点建议。
1,从社交网络服务商的角度来说
(1)在社交网站或者客户端设计时,充分考虑安全要求,减少漏洞的存在;在发现漏洞后,及时提醒用户安装补丁,从技术上杜绝用户隐私泄露。
(2)对第三方应用,社交网络服务商要加强监管。
针对第三方软件的防护,清华大学胡启平等人在论文《试析社交网络环境中个人隐私保护》中提出了一种解决方案:
应用隐私控制平台XBook。
(2)社交网络服务商保持职业操守,不要出售用户隐私信息。
(3)规范企业内部工作流程,防止企业内部工作人员出售用户隐私信息。
2,从用户自身的角度来说:
(1)在社交网站填写任何个人资料之前,都要了解到其中蕴含的风险。
尽量不要在社交网站填写过于详细的个人资料。
尤其是自己的收入水平、婚姻状况,自己是否买股票、基金等个人隐私,很容易被有心人利用,进行商业推广和诈骗。
(2)在使用SNS网站时,要充分利用其安全机制。
例如,通过SNS网站邀请好友时,如果输入了自己的MSN帐号密码、邮箱帐号密码,在使用完该功能之后要马上修改密码。
这样,就可以规避掉一些安全风险。
(3)不要轻易加MSN好友、QQ好友、SNS网
升级会员 