|
垃圾邮件存在安全威胁 当心会窃密的垃圾邮件
注意:您的邮件箱中充斥的垃圾邮件可能装载了供人跟踪您网上行踪的软件,而您甚至无法意识到一切秘密都呈现在别人眼前。
很早之前,一些网站就利用网页把称为“cookies”的代码植入到客户硬盘中,以此获取访问者信息以达到更好的广告效果。现在,
电子邮件也可以携带这种网页cookies,而且功能更为强大,这种技术可以穿透保护客户隐私的防护措施。
Zero-Knowledge系统公司(隐私及安全公司)技术主管Adam Shostack说:“目前,Web安全和隐私问题集中于电子邮件。这种行为的可耻之处在于它是秘密进行的,人们根本没有选择的余地。”
长久以来,客户告知和自由选择权一直是Internet隐私争论的核心,最终迫使eBay、Yahoo 和DoubleClick等知名站点出台了并不完善的Web隐私策略。虽然电子邮件的使用过程中也遇到很多类似的问题,但人们揭发数据窃取行为的脚步并没有跟上Web详细审查的提高,因此电子邮件可能给用户隐私带来更高的风险。
安全专家称,目前,经过用户权益倡导者多年的斗争,各个网站已经开始象征性地保护访问者身份,并通过匿名方式来收集数据。但在另一个方面,当用户上网时,垃圾邮件发送者,甚至某些守法商人已经开始使用。
某些情况下,垃圾邮件发送者能够将以往的匿名用户与他们的邮件地址联系起来。比如,某个星座网站可能只知道某个用户的出生年月。但是,如果该网站租用了包含该用户地址的邮件地址列表,他就有可能将该用户的邮件地址与出生年月、访问习惯联系起来。
Anonymizer(Internet隐私服务公司)总裁Lance
Cottrell说:“在很多方面,电子邮件的跟踪功能更强大,因为它们可以将邮件地址和上网记录相关联。当你收到一封带有远程加载图形的窥探邮件时,接受者不大可能知道已经被跟踪了,这是整个邮件交互过程的一个泄密点(loophole)。”
邮件跟踪行为是随着“rich
e-mail”(多功能邮件)的出现而盛行的,这种邮件包含了HTML语言。除了普通文本外,这种邮件的内容可能包括网页、声音和图象。
DMA (Direct Marketing
Association)最近的一份报告显示,65%的在线商户定期向客户发送HTML邮件。由于包含了HTML语言,这种邮件看上去类似网页,需要从Web服务器请求图形和数据,并将用户的点击(hit)数量计算到公司的主页上。
利用这种技术,商家可以知道用户在何时、何处,通过何种方式查看邮件,并跟踪之后用户在公司主页上的操作,这是通过嵌入cookie和明显的Web信标实现的。在简单的文本邮件中,根本不可能实现这种技术。
最简单的情况是商家在“from”行嵌入数字跟踪代码。收件人从邮件访问公司主页时,这段代码被回送到网站。更复杂的跟踪可能包含cookie,用户日后访问该网站时也会被发现。此外,通过跟踪整个访问过程,cookie有助于确定邮件接收者在访问公司网站后进行预订所带来的收入。
在发送和阅读邮件的整个过程中,有多个阶段可以为植入跟踪程序所用。在某些情况下,收件人一打开邮件或者在预览窗口时,cookie和Web信标就能被植入;其它情况下,只有收件人点击该网站的链接时才能被植入。有人认为后一种行为属于Web访问,应该属于Web隐私策略的范围。
Digital Impact(邮件行销服务公司)采用了一系列方法来衡量各种行为对客户的影响,其调查范围包括花旗集团、美洲银行、沃尔玛、Target 和
Gap。
从1998年创建以来,Digital Impact已经发送了大约30亿封商业邮件。公司CTO Gerardo Capiel称,虽然70%的邮件包含是HTML的,其中只有不到30%使用了跟踪技术,公司请客户用自己的隐私策略来确定如何交互邮件。他同时承认,人们对cookie是很敏感的,它们可能会激怒一些客户。
另一家邮件行销服务公司Experian从去年开始使用cookie,以便为其客户提供更好的跟踪数字通信服务。公司的隐私策略是利用cookie和Web信标跟踪用户何时打开邮件,收件人转发该邮件的次数以及Web地址何时被点击。
公司电子行销服务部CPO Christine
Frye称,公司已经开始说服客户升级他们的隐私策略,使用邮件跟踪技术。目前为止,这些客户还是很乐意接受这个建议的。
该技术已经吸引了浏览器和邮件软件开发商的注意。
一些邮件程序已经包含了拦截cookie的设置。微软的IE6.0、Outlook 和Outlook Express都提供了这种功能。“prompt for
cookies”(当遇到Cookies时提示用户)设置选项即完成这种功能。
微软称,IE 6、Outlook 和Outlook
Express的默认设置是拦截HTML信件中的cookie,同时把它们保存在一个安全的“受限”地带。这项设置并不是绝对有效的,著名安全专家Richard
Smith已经发现了一个漏洞,利用该漏洞,cookie可以在默认设置下通过Outlook植入用户系统中。
IE6的开发主管Rajeev Dujari回应说,Outlook的设计是让用户从不同的安全地带读取邮件并通过隐私策略来控制cookie。不过他也承认,客户应该更好地学会保护自己免受入侵手段的骚扰。
隐私专家认为,就请求发送邮件的在线商户而言,垃圾邮件和商业宣传之间只有一步之遥。虽然二者都可能在收件人的硬盘上种植cookie,但是垃圾邮件没有依托任何预先建立的联系。此外,在两种情况下,无论是邮件还是Web隐私策略都没有给接收方用户任何通知,也没有为用户提供以后取消cookie的选择。
这个领域现在才开始得到注意。DMA道德及消费者事务小组已经说服其成员把隐私策略应用于所有的邮件链接,并揭露邮件跟踪行为。
因为要在多功能邮件中携带广告,邮件行销方式给行销服务公司带来了棘手的问题。隐私专家认为,虽然这些公司保证进行匿名数据搜集,但是理论上,通过邮件行销活动可以很容易地把跟踪数据与邮件地址联系在一起。
Web 广告发布和邮件行销业的龙头DoubleClick推出了“DartMail”服务,供公司管理、传递及跟踪邮件行销行为。客户可以利用该技术添加cookie或Web信标,并由此跟踪行销活动的效果。
DoubleClick称,利用该技术搜集的数据是与通过邮件获取的数据分开存放的。
J.Crew是DartMail的一个用户,其网站上并没有明确陈述有关邮件监控的隐私策略,他只是简单地说:“我们可能会在某些情况下利用第三方公司来保证对您的服务。这些公司可能有权获得您向我们提供的所有信息,并代表我们使用cookie”。J.Crew对此评论并没有立刻作出反应。
当然,很多公司已经开始在隐私策略中包含邮件监控,Amazon.com就是其中之一。该公司明确表示可能会使用邮件跟踪技术作为进一步联系的参考。不过,隐私倡导者认为邮件隐私措施与Web等其它媒体相去甚远。
揭发邮件隐私面临着一个困难。很多邮件行销行为是由第三方供应商引导的,因此,某些邮件行销服务公司并不完全了解这些供应商代表他们采取的措施。
虽然一些大公司将邮件行销业务外包给那些明确承认采用cookie或其它跟踪技术的公司,这些公司网上公布的隐私策略可能没有包含邮件监视问题,Walmart.com就是一个例子。虽然该公司隐私策略中没有包含邮件监控策略,但是该公司的确通过邮件跟踪用户。其发言人称公司的安全策略是完备的,因为没有使用cookie,如果用户通过链接访问公司主页,那属于Web安全策略,而不是邮件隐私策略的范畴。
|