最近的一次谷歌搜索流行的社交网站MySpace对于描述某人的外祖父母的几种不同词汇,搜索结果超过1.1万条。
这项由安全研究员兼作家赫伯特·汤普森(Herbert Thompson)进行的搜索表明,社交网络、论坛、博客和其他Web 2.0网站上发布的大量个人信息,正日益构成安全威胁。汤普森把搜索结果发给了《计算机世界》。
汤普森说,上传一些看似无害的信息,比如母亲的娘家姓或宠物的名字,可能会帮助骗子获取银行、金融服务公司和其他公司存储的个人数据。他指出,许多公司通常会要求客户提供此类信息,以便重新设置账户密码。
汤普森是总部位于纽约的IT安全咨询公司People security的创始人和首席安全策略师,他描述了发布在博客或社交网络上的个人信息可以多么容易地被用来侵入美国银行账户发表在《科学美国人》上的文章本月。
在她的允许下,汤普森在一个半小时内访问了一个朋友的银行账户,之前她在博客上挖掘了她的个人信息,比如她的生日、出生地、父亲的中间名和宠物的名字。他用这些数据重新设置了她的电子邮件密码,并从她的银行获得了一封电子邮件,里面有如何重新设置她的银行账户密码的说明。
汤普森在一次采访中说,网络罪犯正在越来越多地挖掘遍布web2.0世界的个人数据。他指出,银行长期以来用来重置或恢复密码的问题通常被视为窃贼难以回答。他指出,然而现在,这些问题的答案对骗子来说往往唾手可得,因为现在很多人都在写博客记录他们的个人生活,或者创建充斥着这类信息的个人档案。
为了证明这一点,汤普森指出,地下论坛的盗贼通常会对被盗的信用卡卡号收取10到12倍的费用,而被盗信用卡卡号的主人是其母亲的娘家姓或宠物的姓。
“你可能会毫不犹豫地公布你祖父的名字,但你刚刚公布了你母亲的娘家姓,”他说。“在很多地方,你可以声称忘记了其他问题,网站会默认使用母亲的娘家姓。如果我给你一个账户的登录名,我就给了你一条鱼。如果我给你密码恢复问题的答案我已经教你钓鱼了。你可以抢劫他们的账户。”
他补充说,博客和社交网络上发布的信息类型的问题可能会因为“Web——尤其是Web 2.0非常具有粘性”这一事实而变得更加复杂。许多存档站点在删除主要数据很久之后仍然包含数据快照。此外,他还指出,小偷还可以利用国家机动车部门网站的公共数据或房屋所有权记录来补充来自web2.0网站的信息。
为了解决这个问题,汤普森建议人们从银行或金融服务公司了解他们重置密码时使用的信息。然后,他们可以回溯,看看是否有可能在网上找到回答这些问题所需的关于他们的任何信息,他补充道。如果是这样,他建议网上用户更改密码恢复的答案或问题,
“大多数人可能会发现一些可怕的不匹配——信息可以通过某个州或其他政府部门公开获得,或者是他们在网上自由披露的东西。看看你是否对你的银行账户访问感到舒服?依靠这些信息。”
这篇文章《研究人员访问银行账户网站》最初是由作者发表的《计算机世界》 。