据《北京青年报》日前报道,网传一家名为“我就是社工库”的网站,成为人肉搜索工具。在该网站通过输入QQ号即可查看该号主人大量的隐私内容。这一附有数张网站截图的消息,立刻在微博中被网友疯狂转发了近2000次。网站被群众举报后,当晚已无法打开。
“社工库”明目张胆地售卖用户信息,令人不寒而栗。据悉,该网站只是网络上众多“社工库”网站中的其中一个。“社工”二字的意思是社会工程,在黑客圈指一种黑客通过攻击从而获取情报和信息的方法,网上的“人肉搜索”就是对社会工程的一种应用。“社工库”手握众多网站及网民的数据,一旦被不法分子兜售,网民的隐私再遭“裸奔”,后果不堪设想。因此,取缔不法“社工库”,为用户信息加把“安全锁”刻不容缓。
“社工库”网站变为人肉搜索工具
随着社交网络逐渐深入人心,已经成为不少黑客实施社会工程攻击的“温床”。并且由于大多数社交网络是基于人与人之间的信任关系构成,包括信息内容和用户生活息息相关,带有很强的真实性。对黑客来说,这领域潜藏着巨大的“金矿”。于是,黑客通过社交网络广泛收集甚至挖掘用户个人信息,形成社工库。
“一秒钟记住域名:我就是社工库。”近期,这家名为“我就是社工库”的网站火了一把,附带网站截图的举报消息一经发表便被转发近2000次,直接一跃成为热门话题。
对“社工库”有所了解的人,都会对“社工库”的泄密不寒而栗。据媒体报道,“我就是社工库”网站是一个模拟搜索引擎页面构造的信息查询网站,分为“QQ密码查询”、“QQ资料查询”和“开房记录查询”三个部分。其中,查询QQ密码和资料只需要输入想查询的QQ号码,即可得到相关信息。而查询开房记录则只需要输入相应的身份证号码。
在QQ资料查询中,只要输入想查询的QQ号,便可以查到此号码几年前使用过的昵称,包括加入过的QQ群组的情况。而点开号码加入过的群组,则可以查到群组内所有成员在群内的昵称,以及群组介绍。
不仅如此,根据以上信息,查询者还可以轻易查到QQ号试用者的好友圈、生活圈和工作圈等大量个人隐私信息。不过在QQ密码的查询和开房记录的查询两个方面,则需要注册并支付50元才能继续查询。别有用心的人通过“社工库”可以“人肉搜索”,不知又掀起多少“血雨腥风”。
据悉,网站被群众举报后,当晚已无法打开。
“社工库”掌握众多用户隐私数据
由于社工库掌握众多用户的隐私数据,所以社工库网站大多是非法的。不少网站经常被举报或者查封,但过段时间又会换一个域名重新出现。甚至一些社工库网站服务器还设置在境外,以此来躲避国内公安机关的调查。
“社工库”手握众多用户的隐私,那这些信息来自哪里呢?“社工库”又是如何运作的呢?网络工程专家表示,这类社工库网站的数据大多来自两大方面。一方面是黑客自行窃取信息。黑客通过放置木马病毒、非法侵入各大网站,获取并下载用户的重大信息。而数据来源的另一方面,就是一些网站贪图利益,违背行业道德,将自己掌握的用户信息私自出售给不法分子,造成用户信息的泄露。
此外,据安全专家介绍,不少用户为贪图方便,在多个网站、多个平台使用相同的账号和密码。因此熟知此信息的不法分子只需购买一部分网站,通过数据分析加工,就能获取多个网站的用户信息;或者将获取信息售卖给有关“社工库”,获取不法利益。有律师表示,公开兜售用户隐私已经违反刑法,对于“社工库”运营者,更应追究其刑事责任。
其实,不止是“社工库”泄露了用户的信息,还有许多渠道让用户的隐私处于“裸奔”状态。譬如,危害移动终端的各类病毒,在入侵“劫持”用户终端后,在后台打包用户各种信息,传送至不法分子的服务器。在这个互联网时代,用户信息的泄露成了行业难言的痛。
用户隐私保护迫在眉睫
随着互联网的快速发展,我们的数据越来越庞大、详细,但与此同时,所受的威胁程度也日益严重。据安全专家分析,社工库数据的买家大多数目标明确,心怀不轨。网民因此遭受的损失亦很严重。
对于网民来说,如何规避风险,保护自己不被社工库扫描或将损失降到最低?专家建议用户要养成良好的习惯,将重要账户和普通账户分离。首先,将常用账号分为公司账号、社交账号、普通账号以及以银行、支付宝为代表的金钱账号。其次,保证每种账号至少对应一套密码,而且设置的密码要稍微复杂些。第三,每个账号对应的找回密码的邮箱要尽量不同。第四,用户要养成定期修改和整理密码的习惯。第五,用户要时常用安全软件对电脑进行查毒、杀毒。
而对于网站开发和管理人员而言,最重要的是遵守行业道德,始终将用户的利益放在首位,不能为了眼前的小利而贩卖用户信息,这并不利于网站的长久发展。其次,要将保障用户权益落实到实处,挡住黑客侵犯,竭尽全力保护好用户的隐私不被窃取和泄露。第三,专家还建议网站要经常进行漏洞安全扫描,包括后门和注入类的扫描。另外,网站对自己的数据库也要设置密码,并且对备份的数据进行加密。
无论是“社工库”事件,还是其他网络安全事件,一件件惨痛的案例都应该给互联网行业、网民以及安全厂商敲响警钟。互联网安全需要产业链上的各方通力合作,共同致力维护的网站安全性,让大家可以尽情享受互联网带来的科技成果。