你的个人隐私是如何在微博上泄露的

你是否经常在微博上收到一些莫名其妙的评论或私信,这些评论或私信好像对你的某个事情或者秘密了如指掌,他们的这些信息是从哪里得到的呢?其实答案很简单,就是通过你的微博。

从2009年新浪微博内测开始,新浪微博功能越来越完善,但是不是每个用户都会完整的接触到每个功能点,而每个功能点所涉及的个人隐私却又不能忽略,要是你不是很了解新浪微博的相关设置,建议你好好看看下面的文字。

2011年12月16日,北京市人民政府新闻办公室、北京市公安局、北京市通信管理局、北京市互联网信息办公室公布了《北京市微博客发展管理若干规 定》,该规定自公布之日起施行。《规定》提出“后台实名,前台自愿”,微博用户在注册时必须使用真实身份信息,但用户昵称可自愿选择。新浪、腾讯、搜狐、 网易等各大网站的微博均在2012年3月16日实行了实名制,用户在注册微博后如果不实习实名制只能浏览不能发言。

目前注册新浪微博有两种情况,一种是没有新浪邮箱账号,此时注册新浪微博需要填写注册邮箱、密码、昵称、性别、所在地、姓名、身份证号等相关信息, 其中学校为选填,而姓名和身份证号为实名制的强制要求,这里实行的是“后台实名,前台自愿”,一经填写注册后信息不可更改,一个身份证号可注册多个微博账 号。如果已有新浪邮箱账号则可直接登录新浪微博,登录后会要求用户填写昵称、性别、所在地、手机号等相关信息,其中手机号是用以获取注册验证码,获取验证 码的手机号码不受账号和次数限制,一个手机可获取多个微博账号的注册验证码。

注册成功进入微博后会提示上传头像,如果上传头像为本人照片,则会增大隐私泄露风险,这类风险大多来源于突发的负面事件。如果该账号没有关注任何 人,新浪会提示多种方法查找好友,其中“按MSN和邮箱查找好友”要求用户填入MSN或邮箱的登录名和密码,其实就是导入MSN和邮箱里的注册了微博的联 系人。通过这样的导入并邀请未开通微博好友加入,会暴露该邮箱开通微博账号的相关信息,同样会加大隐私泄露的危险。

在账号设置一栏,能设置昵称、所在地、性别、博客等基本信息,也能设置如教育信息、职业信息、个人标签、个性域名、收货地址等个性资料。其中基本信 息里面真实姓名、博客地址、邮箱、QQ和MSN都可以设置查看权限,权限包括“所有人可见”、“我关注的人可见”、“仅自己可见”。“生日”这一栏可设置 的查看权限为“公开,完整显示”、“只显示星座”、“只显示月日”和“保密”这四个选项。而昵称、所在地、性别这三个必填信息和“一句话介绍”这个可填信 息四个内容不可设置查看权限。

教育信息一栏要求填写学校类型、学校名称、完整入学年份和所在院系,其隐私设置可以是“所有人可见”、“我关注的人可见”和“仅自己可见”。而职业 信息一栏则要求填写所在地、单位名称、工作时间和部门及职位,职业信息能设置的隐私权限和教育信息一样。如果微博用户这两项信息都有填写却又没有设置隐私 权限,那么这些隐私泄露也是比较严重的。

接下来个人标签和个性域名都是极易泄露个人隐私的,而且泄露往往是在不经意间。许多微博用户的个人标签里会涉及到职业职位、兴趣爱好、感情情况等, 而个性域名又是自己其它网站的登录名或者昵称。而把这些毫不起眼的细节拿到搜索引擎里一搜,就会出来一大堆结果,个人隐私信息也就立即被暴露出来了。自从 去年新浪微博推出微号功能以外,许多微博用户为自己的微博选择了一个具有特殊意义的微号,如生日、QQ号、某某纪念日等,殊不知这些别出心裁的号码却恰恰 又暴露了用户的个人隐私。

收货地址的设置外人看不到,但是如果新浪微博本身没有做好相关信息的保密工作,如系统错误或是被黑客攻破,这些敏感信息也是容易泄露出来的,而且新浪的购物平台到现在也还没有成型,所有这里建议不要填写收货地址。

在“隐私设置”里,私信对所有对户开放,如果每天都有很多陌生人发私信,这样也会对用户造成信息骚扰,特别是名人微博,情况则更加常见。推荐私信对 “可信用户”和“我关注的人”开放,这样即不会错过朋友发的信息,也不会因为信息过多对自己造成骚扰。“推荐”一栏里,“在我附近上网的人” 、“与我msn/邮箱联系人”、“与我有间接关注的人”、“与我有共同好友的人”会对其他用户显示微博用户与某些人的微博关系,这些信息也都是一定程度上 的隐私泄露。

邀请关注虽然不会对隐私造成泄露,但如果关注邀请设置为“所有我的粉丝”有可能会有很多僵尸粉发送广告信息,对自己造成骚扰,如果接受游戏邀请也会 有同样的问题。所以为了避免无关信息对正常使用微博造成干扰,在邀请一栏的设置上,指定粉丝邀请和关闭游戏邀请会是比较好的选择。

应用授权会对用户隐私泄露造成较大威胁,特别是在新浪微博授权接口升级之前,应用接口为1.0版本,此时用户授权的应用有非常高的权限,可以随意操 控用户进行发布微博、私信等功能,用户也是怨声载道。而且1.0的授权不会过期,只要用户不取消,授权一直都在,这给用户的账号安全造成了极大的隐患,随 之也泄露了用户的个人隐私。随后新浪升级授权版本为2.0,并且降低了授权的权限,授权的时长也改为一周,一周后应用的授权就会过期,用户需重新输入授权 才能继续使用。而新浪官方的应用如各版本的手机客户端则比其它普通授权有更高的授权,这些官方应用授权到期后会自动更新。开放平台2.0版本的授权机制有 效的降低了用户的账号风险,也降低了微博用户的个人隐私。

上面说到的都是用户在微博设置上的操作,其实用户使用微博的习惯也会造成个人隐私的泄露。有些用户经常用手机客户端同步第三方应用,特别是地理位置 信息。新浪微博官方手机客户端就有分享地理位置功能,其它第三方微博客户端也有相同或类似功能,另外就是第三方LBS应用也会造成用户个人隐私的泄露。如 果经常用LBS等应用签到,用户的个人行踪暴露无遗,且长时间使用会导致用户的生活作息时间也都能被推断出来。除了基于地理位置的分享应用,还有基于地理 位置的社交应用,如陌陌等,如果用户通过微博授权通过这类应用,用户的微博信息就会暴露在这些平台上,在附近位置使用该应用的人都能通过该应用查看到用户 的新浪微博。所有,在微博上使用地理位置应用的用户会暴露个人隐私,使用次数越多,时间越长,暴露的信息也就越多。

目前微博用户基本可以分为四类:只看不评论和转发、只评论不转发、只转发不自己不发、即转发又自己发。这四类用户涵盖了新浪微博上的大部分用户,只 看不评论不转发泄露的隐私最少,为什么说也会泄露隐私呢,因为别人能看到该用户关注了哪些人,主要是什么内容。如果想深刻了解的话,只需依次关注该用户关 注的人,别人就能看到该用户一天获取了什么讯息,所以这也是会泄露隐私的。只评论不转发相当于用户已经与其他人建立了沟通,此其评论的话题也能表明该话题 对用户有吸引力,挖掘这类用户的隐私可运用社会工程学,或者通过相关的分析应用就能实现。只转不自己发这类用户就比较好吃透,他转发的内容是自己或者他人 感兴趣的内容,要么是自己收藏,要么就是发给他的粉丝,如果转发当中再圈(@)了某人,那么该用户也就暴露了其微博圈子的隐私,只要通过用他圈(@)的人 的微博进行挖掘,用户的隐私也会被找到。如果他没有圈某人,那么研究其转发微博的评论或二次转发,这样就可以清晰的看到该用户与哪些微博用户有过互动,互 动内容是什么,导致其个人隐私被挖掘出来。最后一类即自己发又转发的用户,也是微博上占大部分的用户,他们微博发布和转发的内容被上面提到的方法挖掘,个 人隐私更容易被泄露。

上面说了这么多,总结出一句话就是:只要你使用微博,你的个人信息就有泄露的危险。如果不相信,用其它的账号去你的微博上看一看,翻一翻,上面有多少你的个人信息和隐私。现在亡羊补牢,为时不晚,希望你看完这篇文章后知道自己该去干嘛了。

题外话,写此文完全没有其它目的和用意,它只是我毕业论文的一部分,我觉得可以摘出来分享给大家。如有不对之处,还望批评指正。

作者 @过期的白砂糖  http://weibo.com/333890929

本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。