好莱坞“艳照门”教会了我们什么?

  正在持续发酵的好莱坞“艳照门”事件已经造成包括90后奥斯卡影后詹妮弗-劳伦斯(Jennifer Lawrence)、凯特-厄本(Kate Upton)、爱莉安娜-格兰德(Ariana Grande)以及维多利亚-嘉丝蒂(Victoria Justice)等超过100位明星的私密艳照外泄。从目前的情况来看,黑客似乎是利用了苹果公司iCloud云存储(也有可能包括了来自其他云存储服 务)的漏洞获取了这些照片,并将其上传至了著名匿名图片分享社区4chan。

  在过去数天,网络安全专家和部分网友通过人肉搜索发现幕后黑手可能是一名27岁的软件工程师布莱恩-哈马德(B ryan F·Hamade)。哈马德承认自己于8月31日在4chan网站上发布了部分女星的艳照,最初目的是想通过100美元一张的艳照来赚钱,但他坚决否认自己是这些照片的来源所在,并希望找辩护律师和黑客来力证自己的清白。

  分析人士指出,此次的黑客入侵事件同此前名人数据泄露事件中所经常使用的零日漏洞攻击有所不同,因为iCloud云服务账户(尤其是其中的“Find My iPhone”功能)登录密码存在被恶意“暴力破解”的风险。黑客可以反复尝试登录密码,而iCloud并不会发出警告或锁定登录界面。所以只要有足够耐心,并且漏洞持续时间足够长,黑客就可以在密码本的帮助下进行破解。当然对于明星们来说,最安全的方法就是不要将任何照片上传至苹果iCloud服务器。

  对此,苹果已经承认了此次黑客入侵事件,并在声明中表示:“黑客对某些名人账号进行了专门针对其用户名、密码等的攻击,而这些攻击在互联网上十分常见。为了防止此类事件的再次发生,我们强烈建议用户使用强度更高的密码,并同时激活‘两步认证程序’(two-factor authentication)。”

  千疮百孔

  应该说,诸如苹果iCloud和其他一些云存储服务的安全性早在此次“艳照门”事件爆发前就已经是千疮百孔。早在数年前,包括美国流行乐天后克里斯蒂娜-阿奎莱拉(Christina Aguilera)、美国女演员、好莱坞性感女星斯嘉丽-约翰逊(Scarlett Johansson)和其他一些明星的账户就在2011年被一名来自佛罗里达州的男子成功侵入。据悉,该男子当时几乎是基于入侵目标的个人信息通过“猜”的方法来入侵这些账户的,而最终这名黑客也被判入狱10年。

  与此同时,知名科技媒体《连线》高级记者马特-霍曼(Mat Honan)也曾在2012年对外详细阐述了自己iCloud账户遭到黑客入侵,导致iPhone、iPad和MacBook Air数据被远程删除的详细过程。

  据悉,黑客当初攻击霍曼账号的动机是想得到其Twitter账号,然后向其1.5万名收听者广播大量垃圾信息。因此黑客从霍曼的iCloud账号入手,一旦iCloud账号在他们的控制之下后,他们就能够恢复霍曼的谷歌和Twitter帐户密码。通过使用苹果的“Find My iPhone”和“Find My Mac”服务,黑客能够远程清除掉霍曼iPhone、iPad和MacBook Air上的数据,并且永久地删除了他的谷歌邮箱账号。

  而且,在黑客们攻击的过程中发现霍曼之前已经链接了Gizmodo的Twitter账号。因此除了霍曼的1.5万名收听者外,黑客还能够向Gizmodo Twitter账户的超过40万收听者发送信息。

  但是最令人震惊的地方还在于黑客攻击霍曼iCloud账号的方法。霍曼介绍称,黑客只需给苹果打电话提供给自己的真实地址、信用卡号最后四个数字(这些信息之前黑客已经从其他渠道获得)就可以实现这一点。然后苹果的技术支持就会通过黑客提供的这些信息重置霍曼的iCloud的帐户,并向黑客们发送出临时的iCloud密码。

  因此,虽然苹果现在鼓励用户激活“两步认证程序”,但如果此次黑客采用类似霍曼事件中的攻击方法的话,即便是这一方法恐怕也无法做到万无一失,因为他们完全可以通过其他方式获悉用户的四位安全码。

  何去何从

  目前,包括苹果iCloud、Android 、Google Plus、Yahoo Flickr等许多云服务都会默认同步备份用户的图片数据。即便你在设置中禁止了默认同步功能,用户也无法控制这些照片的接收方是否会做出同样的抉择。而且,就算是诸如SnapChat、Glimpse和Wickr这些阅后即焚类应用也没有禁止用户通过屏幕截图的形式保存图片。

  从本质而言,云存储应该是一个鼓励用户分享、传输数据的平台,但用户却习惯在这样一个平台存放一些私密照片。因此,一旦云端服务系统出现漏洞或者用户操作不当都有可能使用户数据出现泄露的风险。而且,当云端服务遭遇入侵时,如果黑客没有被找到的话用户恐怕也无能为力,因为云存储服务商早就在自己的“使用条款”中规避了几乎一切责任。

  硅谷网络安全公司Adallom CEO泰尔-克莱因(Tal Klein)认为:“从此次的泄露事件中我们可以得出两点结论:1. 不要拍摄不该拍摄的照片,因为这些照片迟早会在某个时候被泄露出去。2. 不是所有的云存储服务都拥有相等的安全保障,而云服务提供商通常都不会被数据泄露事件所牵连。

  日前,英国喜剧男星瑞奇-热维斯(Ricky Gervais)曾发推文呼吁“大明星们,给电脑加密不让黑客入侵,不如别把这些隐私照片存在电脑里。”事实上,此次的“艳照门”事件并不是明星们的过错,但他们理应在此次事件后更加看清当今云存储服务的真正面貌。而在另一方面,智能手机制造商和云存储服务商应该在今后更加透明的阐述自己的安全机制,同时给予用户在云端数据上传时更大的选择权。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:黑莓官方Twitter开启嘲讽模式:我们提供的 才是最安全的平台