【IT专家网独家】近日,研究人员最近通过Google来搜索MySpace公司旗下热门的myspace.com社交网站中涉及描述某个人外祖父母的信息字段,结果发现返回超过11,000个搜索结果。
这项由安全研究人员发现的搜索结果表明,人们在社交网站、论坛、博客以及其他Web 2.0应用网站上公布的大量个人资料信息无形中给他们自己带来越来越大的安全风险。
安全专家表示,在这些网站或者博客上张贴一些看似无关紧要的信息(如母亲的姓氏或者宠物的名字),都可能帮助黑客或者窃贼直接窃取用户存储在银行、金融服务机构和其他公司的个人账户信息。很多公司或者金融机构通常会要求客户提供这些资料用来重置他们的账户密码。
People Security公司的首席安全战略家Thompson,在Scientific American杂志中发表的一篇文章中描述到,用户公布在博客或者社交网站上的个人信息能够帮助窃贼轻松地窃取用户帐号信息。
专家测试发现,在得到一位普通人的信息后,成功地在一个半小时内获取了其银行账户信息,而所采用的方法,只是轻松地在被攻击者的个人博客中搜寻出某些详细信息,包括她的出生日期、出生地、父亲的姓名以及宠物的名字等。通过搜索到的信息数据来重新设置用户的电子邮件密码,从而获取银行发给他的关于如何重置银行帐号密码的电子邮件,一切水到渠成。
Thompson在接收采访时表明,在这个Web 2.0世界中,网络窃贼越来越多地开始利用人们张贴在各处的个人信息数据来实施窃取活动。他指出,一直以来银行都是使用某些个人隐私问题来帮助重置或者修改用户密码,这也通常都是窃贼们难以回答的问题,然而,现在所有这些用来重置密码的个人信息问题的答案都很容易让窃贼找到,因为越来越多的人开始在博客上记录他们的个人生活以及建立自己的个人档案,而其中自然会暴露各种个人信息数据,为窃贼铺开一条康庄大道。
作为证据,Thompson指出,事实上,窃贼们在地下论坛兜售偷来的信用卡时,通常来说,附有信用卡主人的母亲的姓氏或者宠物名字的信用卡号码的价值是信用卡本身价值的10倍到12倍以上。
“你可能会不假思索地就把你祖父的名字或者母亲的姓氏张贴在博客中,”他说,“有很多登陆账户的网站可以允许你忘记其他问题,而将母亲的姓氏作为默认问题,如果我给了你登陆某个账户的登陆信息,可以说我已经给了你一条鱼,而如果我给你重置密码问题的答案,可以说我已经教会你钓鱼了,你可以轻松的获取他们的账户。”
公布在博客以及社交网络中信息类型问题可能变成非常复杂的问题,因为实际情况是Web,特别是Web2.0,是非常棘手的。很多档案网站包含在原始数据删除后的数据快照,另外,窃贼可以从Web2.0网站(如国家某部门网站的公共数据或者其他包含住宅屋主记录信息的网站)中获取其他补充信息,来帮助他们行窃。
要想解决这个安全隐患,专家表示,首先人们应该要弄清楚他们的银行或者其他金融服务机构用来重置账户的问题是什么,然后他们可以回过头找找看自己有没有将这些问题的答案公布在Web网站上。如果有的话,他建议网络用户对这些重置密码的问题或者答案进行更改。
“大多数人可能很容易混淆这些问题和答案,那些公布在国家网站或者其他政府部门网站上的信息,或者是某些他们任意放在往上的资料。你们可以自己试试看,能否用那些资料来获取银行账户信息。”
IT专家网原创文章,未经许可,严禁转载!
