http://www.zdnet.com.tw/enterprise/topic/entapps/0,2000085735,20126989,00.htm
Flickr用戶帳號遭駭 逾萬照片被刪
ZDNet記者馬培治/台北報導
 
2008/01/10 19:34
 一名相簿網站Flickr使用者上網投訴,懷疑因中了隨身碟病毒導致帳號密碼外洩,近一萬五千張照片遭刪除,不過資安專家表示尚未觀察到行為類似的病毒。
代號KingKiang的本地網友在Flickr網站上留言投訴,上星期(1/3)在電腦上插入友人疑似帶有病毒的記憶卡後,便遭到病毒攻擊,在一秒鐘內刪除其Flickr帳號,及所儲存的14933張照片,KingKiang在向Flickr投訴後,被客服告知被刪除的照片無法還原,且他個人亦未另做備份,累積三年的照片全部消失,憤而上網投訴。

Flickr則認為使用者應是受到網釣詐騙。該公司社群經理Heather Champ在電子郵件訪問中表示,使用者的帳號密碼一旦外洩,則很難避免類似狀況發生,並提醒用戶小心保管帳號密碼。

KingKiang的遭遇並非首例,一名來自新加坡的網友Lynn亦在Flickr論壇上表示自己的帳號遭網路釣魚騙走,幾日後自己的Flickr帳號也遭到刪除,所有照片亦一併消失,但與台灣受害用戶不同的是,KingKiang宣稱是受到病毒,而非網釣攻擊。

資安專家則表示,尚未聽聞有針對特定網站服務進行攻擊的隨身碟病毒變種,但不排除新變種出現的可能性。

趨勢科技資深技術顧問戴燊便說,單從技術面來說,寄生在隨身碟、記憶卡等外接儲存裝置上的病毒,在感染主機並取得使用者的帳號密碼後,假冒使用者登入網站並執行特定服務的可能性存在,「技術不難,但不同的網路服務使用流程差異太大,存在很多變數,會降低病毒攻擊的成功率,」他說。

獨立資安顧問林宏嘉則認為,技術上雖不難做到,但他對使用者「一秒內就刪除」的描述感到懷疑,建議受害者提供電腦與病毒樣本進行進一步鑑識。

「帳號自殺」未升高安全層級惹爭議

不論造成帳號被刪的原因如何,Flickr提供用戶自行刪除帳號的功能,卻未增加安全機制,引來網友一致的撻伐。

一般說來,自行刪除帳號(或稱帳號自殺)並非網路服務的基本功能,多數網站並未在網頁上公開提供該服務。但Flickr此項「貼心之舉」,卻反而成為駭客乘虛而入的漏洞。

由於Flickr僅在刪除帳號設定流程中,以警語及再次帳號密碼認證把關,卻未採用如CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart, 自動真人電腦辨識測試機制)或第二層密碼等安全機制來避免程式自動執行的攻擊,遭網友批評安全防護不夠週到。

林宏嘉即認為,理想的網站服務,應在使用者欲存取個人資料或進行刪除帳號等重大變更時,提供多一重的安全授權認證機制。

Champ則表示,Flickr將安全視為要務,並透過FAQ與安全提示等欄位提供使用者資安訊息,後端亦與雅虎資安中心合作,採用雅虎的相關技術,「我們一直都很重視網路安全,也會持續尋找新方法增強安全性,」Champ說。

資安專家則提醒,使用者在使用任何網上服務時,一定要熟讀使用條款,釐清彼此的責任關係,且一定要另行備份資料,「不要等到出事情以後,才找人喊救命,」林宏嘉說。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 jason0936 的頭像
    jason0936

    J漾諸事會社

    jason0936 發表在 痞客邦 留言(0) 人氣()