社交网络隐私泄露研究.pptVIP

思考问题 什么样的技术手段和法律手段可以来防止第三方软件对用户隐私的窃取？ Company Logo Company Logo L o g o L o g o 社交网络中的隐私泄漏问题 报告人：孙新童 2011年11月 网络安全讨论课 Contents 背景介绍 1 以人人网为例介绍 2 社交网络中隐私泄露的总结 3 社交网络中隐私泄露的防范 4 背景介绍 社交网络的兴起 网络安全讨论课 社交网络源自英文SNS（Social Network Service）。 社交网络含义包括硬件、软件、服务及应用。 网络安全讨论课 背景介绍 社交网络的兴起 理论基础：六度空间理论 最多通过六个人 你就能够认识任 何一个陌生人 背景介绍 社交网络的兴起 社交网站用户规模将达1.24亿 社交网站用户年龄低，学历以中高学历为主 学生和职场人士是社交网站用户的主体 四成用户每周登录一次　34%社交网站用户每天登录使用 网络安全讨论课 规模大 防范心理较弱 背景介绍 社交网络的兴起 四成用户使用社交网站的日均时长不少于一小时 社交网站用户最经常使用沟通和自我表现类功能 高学历用户对社交网站添加即时通讯、第三方支付、C2C感兴趣 网络安全讨论课 容易泄露隐私 潜在的攻击价值 背景介绍 社交网络中含有哪些隐私信息？ 网络安全讨论课 社交网络中包含哪些用户隐私的调查 背景介绍 用户隐私信息潜在的价值 网络安全讨论课 用户自认为哪些个人信息存在价值的调查 背景介绍 用户隐私潜在的价值 单纯的对用户隐私的需求 网络营销 盗窃网银、支付宝 其他。。。。 网络安全讨论课 人人网的隐私泄露实例 唾手可得的隐私信息 一封邮件引发的危机 ——人人网售卖用户隐私 人人网站内信漏洞事件 人人网登陆账号的漏洞 危机四伏的外挂程序 Company Logo 网络安全讨论课 人人网的隐私泄露实例 唾手可得的隐私信息 网络安全讨论课 人人网隐私泄露实例 人人网售卖用户信息 网络安全讨论课 人人网隐私泄露实例 人人网站内信漏洞 2011年4月29日晚，大量人人网用户收到一个标题为《有人暗恋你哦，你想知道TA是谁么》的站内信，用户发现若打开此站内信将会自动将此站内信内容发给所有好友。 通过查看站内信网页源码，发现其中有一行代码为script src=/2011/51.js 作者的意图主要是收集用户的人人id、学校、生日、姓名、qq、msn、手机，并且通过通讯录得到所有好友的上述信息，全部信息会发送到作者设定好的网址：/2011/log.php（托管在美国）。 网络安全讨论课 1，先去网易申请此邮箱名（可以申请） 2，去人人登陆页，点击“忘记密码” 3，登陆刚申请的邮箱，果然收到人人网发来 的更改新密码的链接。 4，更改新密码 5，用该账号和新密码登陆那个人的人人账号 ，成功。 网络安全讨论课 人人网账号登陆漏洞 人人网隐私泄露实例 危机四伏的外挂程序 网络安全讨论课 网络安全讨论课 社交网络中的隐私泄露 用户自身 不设置访问权限 隐私泄露 第三方应用 社交网站 网站之间共享 售卖用户隐私 自身漏洞 社交网络中的隐私泄露 用户自身 网络安全讨论课 社交网络中的隐私泄露 用户自身 网络安全讨论课 用户对个人信息安全认识的调查 社交网络中的隐私泄露 用户自身 网络安全讨论课 用户使用访问权限设置的调查 社交网络中的隐私泄露 社交网站 网站之间的共享 网络安全讨论课 社交网络中的隐私泄露 社交网站 售卖用户的信息 人人网案例 据新浪科技，北京时间2010年3月18日早间消息，据国外媒体今日报道，MySpace将出售网站信息给第三方，包括学术研究者、市场调研机构甚至营销人员。 2010年10月，有报道称Facebook的某些应用将用户个人信息不恰当地与广告商和互联网追踪公司分享，即使采取最严格的隐私设置的人也会受到影响。（来自） 等等 网络安全讨论课 社交网络中的隐私泄露 社交网站 自身的技术漏洞 据国外媒体报道，WhiteHat的调查发现，目前64%的网站仍含有重大漏洞，而含漏洞比例最高的网站类别则是社交网站，高达86%。 例子 上节提到的新浪微博蠕虫事件 开心网的站内信事件 White Hat Security近日发布报告称，Facebook网站存在一个跨站脚本（XSS）错误，通过它，犯罪分子可以欺骗用户，使其访问虚假Facebook网站。 Myspace的一个漏洞：非好友群成员也可以在该群中发表和删除话题 网络安全讨论课 社交网络的隐私泄露 第三方应用 社交网络中用户会用到很多的第三方程序。 用户在安装并开始使用第三方程序的时候一般需要签一份隐私说明，即同意该程序获得用户信息。由于所有程序说明都是一致的，一般用户只要想用这个