資訊安全專家︰只需少量瀏覽記錄可「起底」猜中社交帳戶

資訊安全專家︰只需少量瀏覽記錄可「起底」猜中社交帳戶
Photo Credit: venimo / Shutterstock / 達志影像
我們想讓你知道的是

一項研究顯示,只需要知道你按過的少量連結,就可以透過公開資訊分析猜出你的Twitter帳戶。

唸給你聽
powered by Cyberon

現時不少人依賴社交媒體吸收資訊,往往點擊不少由朋友分享出來的連結。來自史丹福大學及普林斯頓大學的研究人員發現,僅需要收集到這些瀏覽記錄,已能夠輕易猜中你的Twitter帳戶。

無處不在的追蹤器

參與是次研究的普林斯頓大學電腦科學系副教授Arvind Narayanan表示,Google和Facebook等公司在網上追蹤用戶並知道其身份早已不是新聞,但今次研究顯示,任何人只要取得你的瀏覽記錄,就可以透過分析社交媒體上的公開資訊來找到你的帳戶——這代表不少公司和機構能做相同的事。

團隊把研究發現撰寫成論文,準備於今年4月的互聯網會議(World Wide Web Conference)作簡報。

現時不少網站都會加入第三方的追蹤器(tracker),2015年一項研究顯示,流量最高的100萬個網站中9成裝有追蹤器,把用家資料傳給第三方——根據他的統計,有78%網站會傳給Google、32%傳給Facebook。

單是記錄用家上過哪些網站,看來似乎不會影響私隱——畢竟網絡上有那麼多人。這種錯覺令人容易在不知不覺間,將自己的身份洩露出去,資料除可作廣告用途外,亦有機會被用作監控,甚至遭黑客攻擊。

去匿名化系統

研究人員假設在社交媒體上,一名用戶看到他追蹤的人、朋友等分享連結時,點進去的機率會比較高,從而建立一個理論模型,再以此找出目標的社交媒體帳戶。今次研究使用Twitter,因為可透過其應用程序接口(API)實時處理資訊,毋須事先大規模收集資料,而且Twitter上大部份活動都公開可見,以及該網站使用「t.co」的短網址,這些特性都令研究更加容易進行。

他們建立了一個「去匿名化」系統,通常能在1分鐘內把瀏覽記錄跟Twitter帳戶配對。為測試這個系統的效能,研究人員隨機選了60位Twitter活躍用戶,根據他們的動態消息(news feed)去模擬瀏覽記錄。系統只需要30條Twitter連結,就能夠從超過3億名活躍用戶中辯認出一半的帳戶。

單憑瀏覽記錄可找出8成帳戶

最後研究團隊進行了一項實驗,參與者需要使用Google的Chrome瀏覽器(桌面版本),安裝他們編寫的擴充套件,在參與者得悉實驗內容下套件會傳回他們過去30天的瀏覽記錄,提取最多100條「t.co」連結。如果記錄中只有少於5條連結,他們就會告訴參與者無法進行實驗,不會傳送數據。

擁有最少5條「t.co」連結的記錄會交給系統實時分析,系統只會考慮在Twitter上被分享超過100次,而且分享者擁有最多10萬名追蹤者的連結,如果這些連結少於4條,系統就不會分析。整體而言,有超過8成提交記錄的參與者滿足此條件。

系統啟動「去匿名化」程序後,會辨認出一堆Twitter帳戶,並按評分向參與者展示首15個帳戶,請求參與者告訴他們這15個帳戶中是否包含他們的帳戶,如有的話哪一個才是。

在649個提交記錄的參與者中,有119人遇上技術錯誤,另外87人提交的資訊不足。因此系統最終只處理了443名參與者的記錄,374人確認了分析結果是否正確,當中303人(81%)表示15個帳戶中有他們的帳戶,其中268人(72%)表示第一位的帳戶屬於他們。

安裝防追蹤工具減風險

論文作者特別指出,這些參與者是Twitter上較為活躍的用戶,因此不具有代表性,然而實驗顯示他們提出的攻擊手段——單憑瀏覽記錄辨認出社交媒體帳戶——可行。

那麼如何能夠減少被「起底」的可能呢?研究團隊建議用戶可以安裝阻截追蹤器的工具,例如Ghostery、uBlock Origin或Privacy Badger等,以及安裝HTTPS Everywhere,強制使用加密的HTTPS減少洩露網址的機會。不過必須記住的是,在保障網絡私隱方面沒有完美解決辦法。

相關文章︰

資料來源︰