基于SNS隱私悖論的社會工程學研究

劉慧康 趙禹銘

摘要：社交網絡服務（Social Networking Services，SNS）在日常生活中應用廣泛，但SNS在帶來便利的同時，產生了用戶的隱私泄露問題。用戶的共享性需求與保護個人隱私產生的矛盾，SNS提供商與用戶之間產生的矛盾，所引發(fā)的隱私悖論以及隱藏的可以被攻擊的漏洞也應當引起重視。該文將從社會工程學的角度審視個人在SNS中的安全威脅，并給出社交網絡服務提供商與搜索引擎廠商兩方的解決方案。

關鍵詞：隱私泄露;社交網絡;社會工程學;隱私悖論

中圖分類號：TP393? ? ? ? 文獻標識碼：A? ? ? ? 文章編號：1009-3044（2018）36-0013-03

Abstract：Social Networking Services has been widely used in daily life， however， SNS brings convenience， at the same time it brings the user privacy issues. The contradiction between users share demand and personal privacy preservation， SNS providers and users， causes the privacy paradox and hidden vulnerability that should be taken seriously.This article will examine from the angle personal security threats from social engineering in the SNS， and give solution for social network service providers and search engine manufacturers.

Key words：privacy disclosure; social Networking; social engineering; privacy paradox

在互聯網技術快速發(fā)展的今天，社交網絡服務作為網絡生活中舉足輕重的應用，已得到快速的發(fā)展。但SNS在邏輯上以及一些功能上仍存在許多問題。

比如目前主流的SNS網站，在用戶主動泄露隱私的情況下難以對抗攻擊者的解匿名攻擊，即當攻擊者獲得了一些關于目標的背景消息，而社交節(jié)點間的相似性不足以將用戶隱藏到特定集合的時候，用戶的信息安全將得不到保障。所以，社交網站提供的服務并不能夠按照預想的那樣保證使用者的絕對隱私，本文將從社會工程學的安全視角去審視個人在SNS中的信息安全，并對基于共享性需求導致的隱私泄露問題給出解決方案。

1 現狀

1.1 SNS的使用現狀

有CNNIC發(fā)布的數據顯示，早在2012年底，我國使用社交網站的用戶規(guī)模就已經達到2.75億人，而社交網絡使用者在網民中占比48.8%，且社交網站的每月至少一次使用率由63.2%逐步攀升。由此可見，SNS在互聯網服務中占據著重要地位。然而在社交網站流失用戶原因的調查中[1]，認為浪費時間而放棄繼續(xù)使用的用戶占45.8%，失去興趣而離開的用戶占比40.4%，余下的原因如垃圾信息太多，網站無用等原因均與安全性無直接聯系。即用戶目前不會因為安全性而大規(guī)模離開某個SNS。

1.2 用戶對個人隱私的態(tài)度

隱私泄露可以獲得三個方面的收益，其中包括金融收益，個性化和社會調解收益[2]?；谶@個原因，假設用戶可以獲得較高的個性化服務，那么他就可能降低對隱私的關注。因此知乎與微博的用戶會有較高的隱私披露意愿，而貼吧用戶則較少有這種意愿。這種情況在青少年之中更為明顯，青少年使用互聯網的動機中，自我展示的均差和標準差為（2.843±0.908）[3]，而這種強烈的社交傾向很可能成為隱私泄露的源頭。

1.3 隱私悖論

隱私悖論指隱私關注與實際的隱私披露行為有很明顯的二元性，即隱私關注水平高的用戶仍會泄露自己的隱私[4]。本文所提及的隱私悖論，是用戶對SNS有共享性需求時，而造成的隱私悖論。這是由于獲取資源的需求與獲取資源必須在SNS上留下關于個人的敏感信息的矛盾，我們將某用戶分割為SNS與現實世界兩個部分，倘若存在某一元素A，使得在已知A的情況下可以由左向右或由右向左完全推導出用戶的全貌，則A成為一個可以連接目標用戶現實生活與虛擬SNS生活中的一個橋梁。則可以獲取用戶在制定SNS上的使用痕跡。由于獲取信息A的難度是無法控制的，即用戶在SNS層面無法抵抗社會工程學攻擊，只能限制現實生活中信息的泄露。但諸如姓名住址電話等信息難以保密，故此時用戶抗社會工程學攻擊程度低。

1.4 存在問題

由于社交網絡的復雜性以及用戶的主動泄露，這類隱私問題很難得到解決。與此同時，用戶對于信息安全的態(tài)度也不容樂觀。盡管用戶的隱私無法得到完全的保障，但是用戶并不會因此放棄SNS。一方面有人在憂心忡忡地擔心個人隱私和信息安全，而另一方面，人們往往又在各種SNS中或有意或無意地主動泄露個人的隱私[5]。這體現了社交交互對隱私悖論的重要影響，而有限理性與前文所提到的隱私收益理論可以很好地解釋這一現象 [6]。

2 獲取泄露隱私的用戶信息

2.1 理論推導

如下圖1所示，單個目標用戶的屬性可以為SNS與現實生活兩大類，若存在元素a既可以唯一標識某SNS用戶，又與現實生活中test_user相關聯，則a可以成為一次去匿名攻擊的攻擊載荷。當去匿名攻擊成功后，再對目標SNS檢索用戶，可以得到所有發(fā)言，此時，用戶的信息安全受到了嚴重威脅。