雅虎信箱無上限 安全存疑慮
記者馬培治／台北報導　　25/06/2007           

雅虎奇摩升級免費信箱容量至無上限之舉雖創業界先例；但使用者與資安專家心中的第一個想法是：垃圾信與帳號安全等問題也一樣只會多不會少。

雅虎奇摩已在月初完成了免費電子信箱無容量上限的升級作業，但使用者在享受無刪信負擔的郵箱服務同時，卻也使得一直以來屢遭詬病的垃圾信以及帳號盜用等安全議題再度浮上檯面，使用者對雅虎提升容量的善意，尚未能完全領情，反而擔心垃圾信問題更嚴重，資安專家也警告，提高容量的郵件服務，也可能間接增加企業內資訊外洩的風險。

以垃圾信問題來說，不少部落客在雅虎3月份宣佈將提升信箱容量時，便擔憂增多的不只是信箱容量，連垃圾信數量恐怕都將一起「無上限」，而雅虎面對知使用者的反應，則在五月發表升級措施的同時，表示下一階段的目標之一，即是加強垃圾信過濾機制。
 
 

但雅虎不願透露推出時程及實際內容規劃。該公司公關主任許卉妃表示，垃圾信的防制牽涉範圍廣大，從業者、用戶到各方都需要一起配合，並非短期內可以立刻處理完的問題，仍需時間進行，「至於細節，為防有心人士得知後用來反制，目前還無法對外公佈，」她說。

容量大除了裝得下更多郵件，資安專家亦警告可能代表企業內的資訊更容易外洩。由於大多數企業並未規範員工使用網頁郵件(Webmail)服務，CA(組合國際)技術顧問林宏嘉表示，可能使得員工更容易把企業內機密資料透過網頁郵件大量地帶出企業。

盜、冒用信箱帳號問題嚴重

而雅虎信箱另一個未見改善的問題，則是盜用或偽冒該公司信箱帳號，並濫發垃圾信。儘管雅虎信箱帳號遭利用成為散發垃圾信的工具或跳板並非新鮮事，但資安專家表示近來有再升高的趨勢。

「最近幾個月我們接獲越來越多類似案例，」趨勢科技技術顧問戴燊表示，雖未進行詳細統計，但用戶通報雅虎信箱遭冒、盜用，並濫發色情或垃圾郵件的案例近來確有增加趨勢。

CNET則接獲讀者投訴信箱遭盜寄色情信件。在台北市視障生家長協會服務的江小姐表示，日前接獲同事通知，表示收到由她寄出的色情信件，她詢問後才發現，在雅虎信箱中的聯絡人都收到了色情信件，由於在公益團體服務，江小姐進行公益聯絡用的信箱竟成為色情郵件跳版，讓她不勝其擾。

另一位朱姓讀者亦投訴有相同困擾，他甚至在網頁郵件的寄件備份資料匣中看到遭盜寄的色情郵件備份，認為雅虎未做好安全控管。

資安專家分析後認為應是使用者帳號密碼外洩才導致信箱遭盜用。戴燊表示，可能使用者電腦藏有木馬或鍵盤側錄等惡意程式，導致帳號密碼被駭客取得，並藉使用者名義寄出色情信件。賽門鐵克技術顧問總監王岳忠則補充，更常見的手法，則是直接偽冒使用者的名義大量發送信件，「如此連偷密碼的手段都免了，直接冒用就好，」他說。

雅虎則呼籲使用者加強個人電腦的安全防護。許卉妃說，依據該公司過去處理類似案件經驗，多半是冒用名義寄信，或是使用者電腦本身有中毒，或是曾在其他地方（如網咖）使用過不安全的電腦來登入雅虎的服務，導致帳號密碼外洩才遭人利用。

資安專家則建議業者，或可以更積極方式對抗帳號竊取的問題。戴燊認為，在BBS行之有年、亦被不少網路銀行採用的登入告知服務，也就是在使用者在登入後，主動告知前幾次登入的時間、IP位置以及有無密碼輸入錯誤等資訊，他建議網路業者或可提供類似服務，讓使用者能及早判斷有無他人使用過自己的帳號，盡早反應。

雅虎則表示，該公司一直努力對抗使用者帳號外洩的問題，今年起也推出名為安全圖章的防釣魚網站騙取使用者帳號新機制，都在企圖增強服務的安全性。對於資安業者的建議，許卉妃表示亦會列入內部評估時的參考。

「所有的服務都有不斷改進的空間，」許卉妃如此回應外界在雅虎推出信箱容量無上限後的疑慮表示，會再持續努力提升服務品質。