DoSECU 安全报道 9月28日消息:研究人员警告说,许多主要的社交网站正在泄漏我们的信息,允许第三方广告公司和跟踪公司与有着特定网络浏览习惯的用户联系。
这是AT&T实验室和伍斯特理工学院对社交网站信息泄漏个人身份信息的研究结论。
这份到目前为止还没有引起公众过多重视的研究成果出自一个月前巴塞罗那会议上参会的两位研究学者。本周早些时候公民自由电子前线基金会(EFF)在一篇博客文章中援引了这份研究结论。
EFF的博客中这样写道:这项由克雷格伍斯特理工学院和ATT的Balachander Krishnamurthy得出的研究结论提出了"一些关于社交网站如何泄露个人信息的技术细节"。
"在某些情况下,数据泄露可能是无意的,但在其他一些情况下,是某些耍小聪明和恶意的反隐私社会工程在作祟"的EFF称。
两位研究学者对12家规模最大的社交网站进行了调研。他们发现其中有11家将个人身份信息泄露给了包括数据收集等目的在内的第三方,第三方会跟踪和查看用户的浏览习惯,从而有针对性的提供广告服务。
该项研究表明,社交网站上的多数用户都存在个人身份信息从数据收集器所使用的跟踪cookies中泄露的风险。
这些信息会允许数据收集器相对容易的获取社交网络页面上的个人资料,并跟踪该用户在互联网上多个网站中的活动。
虽然收集器通常都声称互联网上所追踪的只是匿名IP地址,来自社交网站的信息会允许他们与每个用户各自的身份信息关联在一起。
不过我们所不知道的是数据收集器是否确实记录了与社交网站有关的个人身份资料,威尔斯说。
威尔斯表示私人身份信息或指明个人真实身份的唯一标识符往往被社交网站通过所谓的HTPP抬头转交给了第三方。 HTTP抬头基本可以链接到任何资源的URL网址上。
在接受调研的社交网站中,所有通过这种HTTP抬头传递的URL链接就包括用户的唯一标识符,威尔斯认为。
当用户的网页正就这些网站,第三方跟踪和广告服务,有一个与网站的关系,不仅得到加载从跟踪Cookie的数据,但数据也包含从HTTP头的用户唯一的标识符,他说: 。
查明什么身份数据被泄露给第三方提供商的另一种方法是看社交网站是否包含来自看似某个网站的一部分的服务器标识,事实上这个服务器是属于第三方提供商的。
报告中称,被调研的社交网站中至少有两家将个人身份资料转交给了这些隐藏的第三方服务器。此外,被调查的12家社交网络海通过所谓的请求URI泄露了用户身份信息,这种网站上包含了这种目的的网页。
"在提及如何使用这些信息时,我们不知道第三方跟踪网站的具体方法是什么"威尔斯表示"但了解到的信息已经足以令人担忧,因为第三方收集器正在侵入你和我浏览的许多网站"。
EFF的技术专家彼得埃克斯利强调说从博客上的帖子来看,似乎有对这些网站上的用户没有简单的方法来避免这种无处不在的追踪。
为了减轻风险,社交网站的用户应该禁用flash Cookie,并确保浏览器关闭时所有其他的Cookie都被删除,埃克斯利写道。
某些火狐浏览器版本也可以允许用户在第三方网站在他们的浏览器和插件上运行代码时加以控制,帮助他们避开有针对性的广告cookies。
但是限制浏览器功能斌采取措施可能比较困难。"我们担心大部分互联网用户仍将继续被数十家公司进行跟踪-这些公司是他们从来没有听说过的,和他们也没有任何关系,他们最私密的想法和阅读习惯毫无选择的暴露在这些公司的追踪之下"埃克斯利写道。