3月30日，瑞星公司发布了《网民隐私与社交网站SNS安全报告》，针对热门的社交网络用户发出警告，报告当中指出网民在社交网络中注册个人资料之后有欺诈安全风险，而且利用各种方式骗取网民的个人资料用以牟利，成为社交网络的一个主要来源。

　主持人：瑞星怎么会想到做这样一个报告？

　　唐威：瑞星一直做计算机安全方面的工作，在我们的客户服务中心的同事在工作的时候往往会发现一些问题，比如说用户给我们打电话，他的QQ信息被盗取了怀疑是木马病毒导致的，目前应用互联网的情况下，病毒数量非常多。经过工程师对于用户电脑检测以后发现很奇怪的一种现象，用户电脑系统中并没有发现明显的病毒特征，而用户的信息确确实实丢失了，这种情况下我们进一步研究，发现用户平时在上网日常应用比较关心，去年广大网民当中流行的SNS社交服务网站，用户经常登陆这种网站以后他的信息比较私密的信息，比如MSN需要填写SNS密码，我国网民中个人隐私被获取或者包括被泄密的这种情况已经越来越严重，大家可能经常上网的朋友在网上都可以看到各种各样的网民信息被网上曝光，这种情况已经越来越多了。瑞星公司根据越来越严重的情况决定把这个事情做下去。

瑞星公司安全工程师 唐威

　　主持人：这个报告我们什么时候开始立项，大概的过程介绍一下。

　　唐威：从我们研究这种情况到目前为止这个时间其实已经很长了，具体立项的时间还是属于从今年开始，具体要把这个项目做起来。研究整个过程我们要熟悉网络操作、网络环境包括相关数据的获取，这个时间是很长的。

　　主持人：在瑞星研究报告当中，用户遇到一些问题或者困难主要是哪些方面？

　　唐威：起因相信每个人都会遇到各种各样的情况，比如说手机经常收到一些垃圾短信，我们的电子邮箱里面莫名其妙收到各种各样的广告邮件，我们的邮箱、我们的手机号到底是什么途径泄露出去的？这种途径可能就非常多了，比如像我们以前的电脑植入的后门程序，这样黑客对我们的电脑进行远程控制，获取任何信息都是可能的。这种情况还是少数，根据目前的网络情况，越来越多的尤其是年轻网民越来越多的人从社交网站当中，社交网站对于隐私的保护目前来说做得不是十分完善，有可能导致个人信息泄露。主持人：我看到报告当中提到，社交网站成为泄密的主要渠道，以前我们听说到信息泄露这种事情，更多通过银行、保险、电信公司填写个人信息这样导致的，这个结论是怎么得出来的？

　　唐威：SNS网站最著名的在国外是Myspace、Facebook开始这个服务的起源，我们在网上可以搜索到这种信息，举一个例子，Myspace出过一个事故，当时有一个人利用网站的漏洞把“阿贾克斯”这种蠕虫，把自己的好友名单瞬间添加了一百万或者更多的用户列表，往这些用户列表当中自述那块添加了一行话，最后一句是黑客本人的名字是我们的英雄。这种事件的产生告诉我们，实际上可以获取到社交网站上用户的信息，而且我们在一些国外所谓的黑市上可以充分看到像Myspace或者Facebook这种高级别的帐号都是有被出售的，可能根据帐号的级别包括好友的数量不同，它的价格也会不同。如果说这些东西被有非法目的的人购买以后，他可以得到我好友列表当中所有的信息，包括我本身这个帐号的信息，那么他要在做其它事情的时候这个后果是非常可怕的。

　　主持人：刚才提到国外的社交网站Facebook、Myspace的信息泄露，据瑞星研究来看，国内社交网站相比有哪些情况发生？

　　唐威：实际上我们在研究过程当中发现，国内SNS网站的发展到目前来说应该是比较火热的阶段，从整个商业的运行模式应该是拷贝国外的运营模式，而国外现在包括欧盟对于社交网站的限制是非常大的，包括未满18岁的未成年人访问的限制都是有非常明确的包括网站设计功能的时候，这个网站必须要添加这种功能，但是国内的网站发现整个运行模式或者它的很多功能是拷贝了国外的这种方式，但是像一些安全方面的保护措施目前还是没有跟上。北京、上海这种大城市95%以上的网民都曾经可能加入过这种网站，这样的话这个网站的用户群非常巨大，应该有上千万的用户群。如果说一旦网站数据库被盗取或者被网站经营者利用这些数据驱得到其它商业利益的话，那这个后果很严重，而且它带来的这些商业利益也是非常巨大的。

　　主持人：社交网站通过获利这方面瑞星发现了一些线索或者现象是吗？

　　唐威：主要的获利，比如它拥有这些用户非常真实的信息以后，包括用户的姓名、邮箱帐号密码、照片以及用户平时的生活习惯包括婚姻状况、收入水平以及包括用户的帐本，这种信息获取以后，如何把这种信息提供给专门的公司，需要这些信息的人由于用户信息真实程度非常高，而且它的数量非常巨大，在这种情况下他得到的利益就非常大。而且据我们了解，有一些公司他的投资人或者是他的上层还是一些国外的集团或者公司，在这种情况下会不会涉及到一些国家安全方面的问题，这个就不太好说了。

　　主持人：在市面上可以看到关于用户信息的交易情况，有这种现象发生？

　　唐威：对国内的这种问题目前来看不是十分得严重，但是已经有了，我们可以在一些比如专门出售这种信息的网站上可以看到，我们搜索就可以搜索到，像某一些社交网站的帐号，包括它的用户信息都是可以买到的。有的帐号如果一个级别比较高的帐号可以卖到10—15左右的价格，如果我把这个帐号买过来以后，帐号本身的信息以及帐号里面好友列表里面的信息那就全部摆在我的眼前了。

　　主持人：据我们了解基于SNS传播或者骚扰最多是MSN和中国源网站的恶意推广，作为瑞星研究来看，这个是不是比较早的事情？

　　唐威：中国源网站利用用户的帐号发送广告，这是大家都知道的例子，今年三月份左右文化部查出的《热血三国》也是利用网友的MSN帐号在联系人当中发推荐广告，这种现象在网上可以看到非常非常多，网友的抱怨非常大。最后MSN本身对于这种信息采取了一些手段进行屏蔽。

　　主持人：号友发过来的注册链接，MSN也好、QQ也好做出很多保护，IT厂商瑞星在防护软件里面加了很多模块，但是这个现象还是屡禁不止，这是为什么？

　　唐威：用户隐私的泄密包括SNS网站本身有一定的关系，但是更重要的我想提醒广大网民的就是主要原因是由于绝大多数网民对于个人的网络安全意识不亲，这个是导致隐私外泄最重要的因素。比如我上这种交友网站或者社交网站的时候需要填写我很多的真实信息，用户如果说我只是为了去玩这个游戏，我主要是为了认识更多的朋友，我就不加考虑把我的帐号密码都泄漏出去，实际是对自己安全意识薄弱的体系，如果我的安全意识非常强，当我看到这种信息的时候首先会考虑会不会保护我的这些信息，不被其他人所得到等等这种情况都要去考虑。而绝大多数人可能对于这些问题没有考虑，没有意识到这种情况，没有意识到他的个人信息可能会被外泄。一旦输入了真实的帐号密码以后，如果我的安全意识强会马上进行更改，甚至有人都不知道我的MSN密码怎么更改。

　　主持人：从社交网站的模式来看鼓励用户之间真实的交流，通过自己的真实身份进行注册、登陆也好包括沟通，这个和用户隐私是相背离的，瑞星怎么看这个问题？

　　唐威：实际上通过研究发现国内的这些社交网站利用一些像引诱误导用户填写非常隐私的信息，用户注册网站的时候有时候要求用户填写邮箱甚至MSN的帐号密码，如果我不填写MSN帐号或者我填了MSN的帐号是其它任何一个数字不是我的密码符号，我注册仍然是可以过去的。而且在整个显示过程中，在网页非常不显眼的地方存在一个跳过或者下一步的按纽，但是绝大多数人可能由于处于好奇新鲜的感觉关注不到这些或者处于其它像刚才说的安全意识薄弱直接就填写了真实的信息。填写这种信息主要是为了交友或者游戏娱乐，游戏娱乐采用各种环节引诱用户输入这种信息，邀请好友，邀请好友必须让用户输入我的QQ密码、MSN密码甚至我的OUTLOOK通信录文件都要上传给它，这种方式可以从各个环节中获取到用户非常私密的信息，一旦用户把这些信息全部上传到网站之后，对于用户本身来说没有什么太隐私的东西存在了。

　　主持人：AJAX技术的使用有可能是为了更好和用户进行交互，报告里面提出来它对用户的隐私是有危害的。这个是怎么回事？

　　唐威：AJAX我们或者是一些其他搞专业技术一般叫做阿贾克斯技术，这个技术随着WEB2.0的广泛应用几乎在主流的像SNS网站、博客网站、纯空间之类或者E—Mail里面都可能应用到这种技术，这种技术它的目的是非常好的，就是增强了网站页面里面用户的交互，可以提供非常丰富的交互功能，避免刷新页面。搭建社交网站的技术基本是用阿贾克斯技术实现的，它是属于动态的一如脚本代码的话又是非常复杂，如果网站只专注对于它的功能更加丰富的开发而忽视了对过滤脚本的过滤对于黑客来说很可能发现这个问题网站比如存在发展空间漏洞，它可以做两种事情，一种是XSX攻击，还有CSRF攻击。前一种叫做发难攻击，比如我登陆一个社交网站某一个游戏的环节，我可能鼠标做一个很平常的操作，比如右键点击鼠标能够改变当时游戏页面的信息，实现的功能是这个，但是如果说黑客利用了这些功能以后，利用了阿贾克斯蠕虫以后，它可以当用户点击一下的时候，实际用户在看到的时候还是他做的原来的操作，但是后台有可能用户直接访问了一个挂网的网站，如果用户本身的电脑安全防范没有做好没有安装能够对挂码挂码网站起到很好的拦截。用户在访问一个网上银行的时候，恰巧用户又登陆了这个网商银行做了一些操作的时候，如果在这种情况下黑客利用阿贾克斯蠕虫技术会取得用户的浏览器控制权限，比如说通过本地的COOCKI文件，黑客取得权限之后直接对用户的网上银行，包括有些银行的安全防范做得不是十分到位，完全匹配的情况下黑客可以直接对用户的网商银行进行操作转帐，这样用户的利益受到很大损失，而且这种情况也是发生过的。

瑞星公司安全工程师 唐威

　　主持人：这种问题技术上怎么避免？检查漏洞？

　　唐威：技术上对于用户对于SNS网站来说应该考虑到安全方面定期对网站代码进行安全检查，另外网站做好入侵检测的功能。对于用户来说，还是本身安全意识的增强，这是最重要的一点，如果说用户没有一个很好的安全意识其它都是空话，他主动把自己的信息交给了别人。如果折算的话通过技术手段是阻止不了用户的。

　　主持人：瑞星在报告里面提到一个风险，网民将网站帐户和手机进行绑定，对于用户来说也是比较两难的选择，因为他通过绑定之后很方便找到他自己丢失的密码之类，但是瑞星这边认为网站建立用户信息库，有泄露的风险。

　　唐威：这种情况SNS网站的目的还是好的，大家现在都用智能手机，而且用户又不可能实时坐在电脑面前工作或者是玩游戏，在这种情况下推出这种功能，如果SNS与手机进行绑定之后，我在手机上就可以发布一些我的日志，看一些网站上的情况，确实对于用户来说是好事。但是我们大家现在可能每个人每天都应该会收到各种各样的垃圾短信，这个东西到底从哪儿泄露？我不敢说肯定是从SNS网站泄露的，但是我们不排除未来有这种可能性。因为网站的用户群非常庞大，很多手机包括真实信息的统计，如果说这种信息不管被网站主动泄露或者被动被黑客盗走，对于用户来说后果是一样的，每天收到各种各样的垃圾信息，甚至利用我的手机进行其它操作，这都是可能的。

　　主持人：你刚才说到短信骚扰，对于SNS网站频繁给用户帐户发一些邀请。

　　唐威：基于我个人的例子跟大家分享一下，前些日子有一段时间我发现我HOTMAIL信箱里面连续收到几封邮件，“在某某社交网站上有三位女性正在暗恋你，你想去看看她们吗？”对于一个单身男性来说看到这种信息都想去看到是怎么回事，我打开邮件的链接之后看到这个社交网站让我输入我的MSN帐号和密码，这不是一个正常的注册流程。这是非常过分的，也是非常不安全的，这种邮件应该直接删掉，而且我不会提交这种信息。这种邮件有很多，MSN收到其他好友比如邀请你去养只狗，邀请你去注册某某社交网站信息，通过QQ聊天询问的话，对方很多情况下在对方不知情的情况下，对方没有主动给你发这种邮件，这样的话说明这个网站在利用用户信息，用户的友情列表主动推送这种广告给用户。

　　主持人：以前还有一个网站骗取MSN用户登陆之后察看哪些好友把你从MSN列表删除，这种是骗流量还是什么？

　　唐威：简单地说我有了你MSN的帐号和密码以后，我对你的软件和你的软件人名做任何事情都是可以的，等于你把这个钥匙给了我，我进了这个门之后做任何事情都可以。我利用好友信息做一些事情，社交网站的话是利用我的好友信息推送网站的广告，将来有可能做什么就说不好了。

　　主持人：我们看到在最新的宪法修正案里面已经提到泄露公民信息要严惩，保护公民的信息安全，这个法规会不会解决目前社交网站所存在的个人隐私泄露问题？

　　唐威：这个法规对于社交网站主动泄露隐私信息起到一定的约束作用，但是法规并没有非常细化，因为它不像其它国外一些比如欧盟委员会对社交网站，很多功能有非常明确的规定和限制，我们这个刑法修正案主要对于隐私外泄，泄露用户信息会收到一些法律制裁。从目前的情况看，目前在国内社交网站或没有大规模发生向外界泄露用户信息的情况发生，但是以后会不会发生？这个也是不太好说的。因为泄露用户信息本身有很多种情况，小规模的木马中毒、后门程序、黑客单独泄露你的信息，后来转变成钓鱼网站欺骗用户主动填写帐号密码，再后来就是现在的社交网站。还有其它情况，比如这个公司倒闭了，原有的数据有时候会把这些数据卖掉，你管不了我了。还有一种情况，不道德的员工，平时工作就是管理这些数据，为了谋取个人利益把这些信息、数据私下卖给需要信息的人，这也是信息外泄的一种渠道。

　　主持人：您认为现在新的刑法修正案细则上还不够完善。

　　唐威：社交网站的模式是从国外复制过来的，我开始也提到了，但是它的安全防护现在没有考虑进来。欧盟委员会对于社交网站做了一些明确规定，比如说它会规定多少岁以下的未成年人不许注册这种网站或者18岁以下的未成年人注册网站以后他的个人信息是完全保密的，我未满18岁被注册以后，其他人是搜索不到我的，对我的个人信息起到一个保护作用，另外对于未成年人保护有一点，它在网站很多页面中提交了像申诉的功能按纽，当有人发现信息窃取或者有威胁的时候他可以去进行申诉，这样相关部门政府部门可以直接介入这件事情，对用户自身起到一个保护作用。国外很多家长对于他自己孩子会不会受到网络暴力尤其是国外对于青少年的性犯罪发生概率还是比较高的，大家对于这种事情关注度很高，相关的法律法规对于很具体的功能很具体的操作都有明确的限制，这种情况下就能相对保护好这种用户的隐私。包括网站的服务条款有没有非常明确对这些细则进行规定，而且在它的网站功能上也没有看到像刚才说的对用户保护的措施。

　　主持人：这些保护措施是社交网站应该改进的地方？

　　唐威：这应该是政府或者相关行业对于这种网站保护用户隐私信息，以后应该有这么一个改进。

　　主持人：社交网站有一些提示或者有一些声明，我们也注意到很多交友网站或者社交网站有一个免责声明，已经明确提示用户会有一定的风险，主要是为了规避法律责任？

　　唐威：我想是的，因为从注册开始它的服务条款是在一个非常不明显的地方出现的，如果不仔细去找有可能根本看不到这个服务条款是什么，服务条款里面的内容非常非常多，作为普通用户我只是想去玩网站的游戏，我只是想交友的话，这些细则我们没有必要一个字一个字去看。我们发现服务条款还有免责声明里面很明确告诉用户，用户对于个人隐私不安全的事情，用户自己负责任，网站不负责任。这种免责条款本身应该是不具有法律效力的，对于用户来说我选择登陆注册你的网站的同时，我就选择了我的个人信息可能被外泄的可能。这种服务条款应该是不合法。

　　主持人：这个就需要政府在法律法规方面予以限制。

　　唐威：国内社交网站开始也是比较初级阶段，可能会存在这种问题。

　　主持人：对于社交网站来说主要是为了保护用户体验，也要平衡不去侵犯用户的隐私，在平衡上确实有一个两难的问题。

　　唐威：这个平衡有两大方面，第一方面我在软件的功能设置尽可能要为用户去着想，考虑到用户安全方面的问题，在网站的很多方面我要设计这种功能，这是一方面。第二方面，属于公司或者其它的策略方面问题，如何保护好个人信息。

　　还有相关部门或者相关政府对这个行业或者对于这个公司约束法律条款的细化，还有网站本身的技术问题，像阿贾克斯的技术，它的代码很复杂，在非常复杂的情况下过容易出现问题。网站本身对于我的代码安全性要非常关注，以避免被黑客利用发掘漏洞。

　　主持人：从政府制订法律法规方面帮助社交网站的运营方面提出很大的建议，对于用户来说瑞星有什么好的建议？

　　唐威：对于用户本身而言，最重要的是提高用户自身的安全意识，这是非常重要的，说这些话不是打击大家从今以后不要使用这些网站了，不是这样的，而是提高自己的安全意识，注册自己网站的时候或者添加模块的时候提示输入个人信息，一定要考虑好输入之后对于我而言会产生哪些问题，在确认好之后再输入。我提醒大家，如果要输入的话，不要输入非常真实的个人信息。用户一旦输入这种信息，比如我输入了我的MSN帐号和密码以后，完成注册操作以后，我及时第一时间把我的密码更换掉，因为很多用户包括其它互联网基础服务在注册的情况下可能都需要用户名让你输入一个电子邮箱地址，很多用户没有太多的电子邮箱，我一个操作习惯就是所有的网站都用统一的用户名密码这样记得清楚，网站太多不可能用太多的用户名和密码，如果信息外泄以后黑客或者非法目的的人用你的用户名和密码去试，比如我只是注册电子帐号密码，得到你的帐号密码之后登陆你的网上银行去试，如果匹配了，就可以做操作。当然这种几率是很小的，但是社交网站用户的数量庞大，我想还是有很多相当一部分用户是这种情况的，所以一旦输入以后要对你的用户密码进行更改，这也是非常关键的一步。

　　主持人：刚才唐先生给我们介绍了报告里面提到的很多东西，在报告里面列出七大风险，最后请唐先生把七大风险给大家再诠释一下。

瑞星公司安全工程师 唐威

　　唐威：首先对于用户来说，我刚才说了两点，还有一点当你使用社交网站的时候还有一点是很重要的，不要轻易加SNS网站当中的陌生好友以及你MSN里面的陌生好友。因为如果说他加了 一些陌生好友以后，这个陌生人可以看到用户本身的所有通信列表里面的信息。所以在添加好友的时候非常注意，陌生人应该拒绝他们。您刚才谈到的社交网站在注册或者使用的各个环节当中利用引诱或者误导的方式让用户输入自己的真实信息、QQ密码、MSN帐号密码这种信息，另外用户输入这种信息以后网站本身又没有对这些信息有一个很好的保护作用，有的社交网站要求用户要求手机和网站进行绑定，这样网站有可能打着用户手机的信息向外泄漏出去，这也是非常危险的。用户登陆这种网站之后输入信息做好自己的安全防范以及安全意识的提高。对于用户电脑本身的安全问题有一个很大的问题，由于网站采用大量的阿贾克斯技术，容易导致黑客利用这些技术攻击用户，使用户的电脑在不知不觉当中访问了一些木马网站，如果用户访问这些网站产生病毒，所以用户也要对于电脑病毒方面做一个很好的安全准备，一定要安装正规的安全软件、定期升级，这些措施一定要做。如果网站在这种网站泄漏了自己的真实信息包括自给经济的情况或者生活细节的时候，有可能把你的信息曝光到网上进行人肉搜索甚至有可能被一些黑客进行要挟，这些都是有可能的。大家在这方面都要加强自己的防范意识。

　　主持人：我们看到报告里面提到一些社交网站也有一些曝光，对于瑞星来说会不会引起法律上面的风险？

　　唐威：我们做这个报告整个过程是很长时间研究的结果，我们做这个的目的不是去攻击某一个公司，你这个公司会怎么样怎么样，我们是做安全的，行业目前这种现状可能会对用户来说不管从个人隐私外泄的角度或者从间接安全角度来说有很多的不安全因素，我们只是要提醒行业加强这方面的自律或者是提高自己的安全保障，另外也要警示用户填写信息的时候要有很好的安全意识，自己保护好自己才是最重要的。

　　主持人：瑞星每年都绘出互联网的疫情报告，这个是一个专项报告，瑞星以后有没有什么打算针对某些热点领域专门出专项的安全报告？

　　唐威：对于安全这两个字而言不仅仅针对像病毒、挂码网站这种特别有针对性的东西，我们对于安全都是非常关注的，包括目前我们研究的SNS社交服务也是属于安全范围的一种。对于用户来说，它存在安全威胁的时候，我们肯定会对这种情况进行研究。

　　主持人：除了社交网站以外，还有哪些是比较热点的会引起安全威胁的应用？

　　唐威：目前除了社交网站还有一些钓鱼网站，比如一个网站一个网商银行的网址，一个钓鱼网站跟这个网址相似，如果用户输入错了的话，到了钓鱼网站把自己的帐号密码输入进去导致自己的用户密码丢失。安全包含的东西很多，还是要用户提高自身的安全意识。

　　主持人：由于时间关系，访谈到此结束，谢谢唐威先生作客搜狐。

　　唐威：谢谢大家！