I'n Blog 之萬象真藏

http://www.zdnet.com.tw/enterprise/topic/entapps/0,2000085735,20126989,00.htm

ZDNet記者馬培治／台北報導

 
2008/01/10 19:34

 一名相簿網站Flickr使用者上網投訴，懷疑因中了隨身碟病毒導致帳號密碼外洩，近一萬五千張照片遭刪除，不過資安專家表示尚未觀察到行為類似的病毒。

代號KingKiang的本地網友在Flickr網站上留言投訴，上星期(1/3)在電腦上插入友人疑似帶有病毒的記憶卡後，便遭到病毒攻擊，在一秒鐘內刪除其Flickr帳號，及所儲存的14933張照片，KingKiang在向Flickr投訴後，被客服告知被刪除的照片無法還原，且他個人亦未另做備份，累積三年的照片全部消失，憤而上網投訴。

Flickr則認為使用者應是受到網釣詐騙。該公司社群經理Heather Champ在電子郵件訪問中表示，使用者的帳號密碼一旦外洩，則很難避免類似狀況發生，並提醒用戶小心保管帳號密碼。

KingKiang的遭遇並非首例，一名來自新加坡的網友Lynn亦在Flickr論壇上表示自己的帳號遭網路釣魚騙走，幾日後自己的Flickr帳號也遭到刪除，所有照片亦一併消失，但與台灣受害用戶不同的是，KingKiang宣稱是受到病毒，而非網釣攻擊。

資安專家則表示，尚未聽聞有針對特定網站服務進行攻擊的隨身碟病毒變種，但不排除新變種出現的可能性。

趨勢科技資深技術顧問戴燊便說，單從技術面來說，寄生在隨身碟、記憶卡等外接儲存裝置上的病毒，在感染主機並取得使用者的帳號密碼後，假冒使用者登入網站並執行特定服務的可能性存在，「技術不難，但不同的網路服務使用流程差異太大，存在很多變數，會降低病毒攻擊的成功率，」他說。

獨立資安顧問林宏嘉則認為，技術上雖不難做到，但他對使用者「一秒內就刪除」的描述感到懷疑，建議受害者提供電腦與病毒樣本進行進一步鑑識。

「帳號自殺」未升高安全層級惹爭議

不論造成帳號被刪的原因如何，Flickr提供用戶自行刪除帳號的功能，卻未增加安全機制，引來網友一致的撻伐。

一般說來，自行刪除帳號（或稱帳號自殺）並非網路服務的基本功能，多數網站並未在網頁上公開提供該服務。但Flickr此項「貼心之舉」，卻反而成為駭客乘虛而入的漏洞。

由於Flickr僅在刪除帳號設定流程中，以警語及再次帳號密碼認證把關，卻未採用如CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart, 自動真人電腦辨識測試機制)或第二層密碼等安全機制來避免程式自動執行的攻擊，遭網友批評安全防護不夠週到。

林宏嘉即認為，理想的網站服務，應在使用者欲存取個人資料或進行刪除帳號等重大變更時，提供多一重的安全授權認證機制。

Champ則表示，Flickr將安全視為要務，並透過FAQ與安全提示等欄位提供使用者資安訊息，後端亦與雅虎資安中心合作，採用雅虎的相關技術，「我們一直都很重視網路安全，也會持續尋找新方法增強安全性，」Champ說。

資安專家則提醒，使用者在使用任何網上服務時，一定要熟讀使用條款，釐清彼此的責任關係，且一定要另行備份資料，「不要等到出事情以後，才找人喊救命，」林宏嘉說。