LinkedIn 难熬的一天:泄露密码、侵犯用户隐私

公司

2012-06-07 11:31

iOS 客户端侵犯用户隐私

有人发现 LinkedIn 的 iOS 客户端有泄漏用户隐私的可能性。和之前的 Path 一样,它会将和用户个人有关的内容偷偷上传到 LinkedIn 的服务器中。不过,它并不扫描用户的通讯录,而是通过内置查看手机内置日历的功能,将用户记录在日历上的内容,全部发送到服务器中,包括约会时间、约会对象、约会内容乃至用户在日历上记录的笔记。

作为回应,LinkedIn 在博客上发布了一篇文章,称应用传送手机用户日历中的信息,是为了根据这些信息在公司的用户数据库中进行配对,从而更好地向用户推荐。LinkedIn 指出,这些信息以 SSL 加密方式发送,而且公司也从来没有向第三方分享过这些数据。LinkedIn 还指出它已经向用户征询,通过了他们的许可。但 LinkedIn 并没有向用户说明,它会将用户日历中的信息上传——这才是问题的重点。一时间,LinkedIn 和当时的 Path 一样,成为众人围攻的对象。

800 万份密码遭泄漏

雪上加霜的是,LinkedIn 最近受到一位不知名的骇客的攻击,总共 800 万 名用户的密码被放在一份加密过后的文件,放在俄罗斯的论坛上。一时间,这起密码泄漏事件成为用户、媒体最为关心的事。在 Techmeme 的新闻列表上,它排在第一,超过昨晚 Google Maps 发布会。在 Twitter 上,它成为了人们议论纷纷的话题

LinkedIn 的反应不可谓不快,在消息被报道的当天,马上发布了一篇博客,教导用户如何修改自己的密码,而后又发布一篇博客,确认遭到泄漏的“一些密码”与 LinkedIn 用户的密码重合。公司表示将持续对这件事进行“调查”。而那些密码遭到泄漏的用户,LinkedIn 将给用户发送重设密码的邮件等。这篇文章还安慰用户,称那些改了密码的用户,将不再受到影响,公司正在采取增强安全性的措施,包括对密码数据库再进行加密。

到底这个密码是如何泄漏的?

通过对泄漏的密码进行核查,Kore Logic Security 的一名安全顾问 Rick Redman 告诉 Ars Technica 这起事件的原因可能是:一个骇客拿到了加密过后的密码文件,但他只破解了一些简单的,而一些比较难的,他就放出来,希望别人帮他破解。Errata Security 的 CEO Robert Redman,以及一些 Twitter 上的用户,也持有相似的看法。

难熬的一天

对于 LinkedIn 公司本身,以及它的用户来说,今天都不是好过的一天。

不论是密码遭到泄漏,还是被侵犯隐私,因为 LinkedIn 而受到影响的人将数以百万计。这可能不到 LinkedIn 用户总量的 10%,但也不是一个小数目。最重要的是,LinkedIn 作为专业的社交网络,很多人在上面存放自己同事、商业合作伙伴的关系。难保个别特别精明的“坏家伙”,利用社会工程学攻击的方式,让自己身边的人受到伤害。

如果仔细调查,Facebook 所引发的隐私问题也不少,下面这个案例是比较经典的:

Facebook 收集用户信息引发隐私担忧的相关报道我们已经见过不少。这里有比较经典的一个案例:在 2011 年 11 月份的时候,德国法学生 Max Schrems 根据欧洲法律成功向 Facebook 要到了自己被收集的所有信息,结果他收到的是一张有 1222 个 PDF 文件的光盘,上面有他以往在 Facebook 的所有行踪,更令人吃惊的是这其中还包括了他已经删除了的信息。而前两天 Ars Technica 又报道 Facebook 新的用户数据使用条款规定用户存储在第三方应用上的信息并不会随应用被删除。

Facebook、LinkedIn、Path 等社交网站出现侵犯用户隐私的问题,是可以从商业模式的角度去理解的,它们现在或将来可能需要利用用户的数据来投放广告,或是实现更多的功能,对于它们而言,得到的用户数据越多,那么它们投放的广告就越精确、可以实现的功能就越多。

密码泄漏、侵犯隐私事件频繁最近爆发,不仅国外,国内也是如此。去年年底,国内网站、服务的密码遭到泄漏,波及用户可能上亿。最糟糕的是,这些密码被泄漏的原因,是因为这些服务有可能是以明文储存的方式来存放密码——企业对用户的信息缺乏尊重,这是这类事件频发的重要原因。

当一个人将自己的信息存放在公司或企业,那么公司或企业就应当承担保护这些信息不被泄漏的义务,更不能任意使用。道理很简单,“借别人的东西,是要说一声的。”

题图来自 hackmyass

后评论

评论在审核通过后将对所有人可见

正在加载中