誰動了我的蘋果賬號?
蘋果用戶和163郵箱用戶請注意。很抱歉,你們可能又要被打擾了。
5日晚些時候,微博網友「美國往事1999」發文稱「蘋果官方技術顧問非法竊取用戶個人信息和資料並敲詐勒索」(具體內容點擊該標題即可查看,這裡不再進行過多贅述)。據博主表示,蘋果已於6日與他取得聯繫,並告知涉事員工已被開除,但具體信息拒絕透漏。雖然目前我們尚未看到蘋果官方的任何正式表態,也無法確認該文內容是否屬實,至少從這篇文章200萬+的閱讀量來說,它已經引起了不小的社會關注。那麼問題來了,就算蘋果賬號存在安全隱患,又和163郵箱用戶有什麼關係呢?這裡我們需要簡單回顧一下事情發生的經過,而從這些經過中,我們不難提取出以下信息:
博主遭到了信息泄露的威脅,威脅方稱利用職務之便侵入博主儲存個人信息的iCloud賬戶並將其拷貝並向博主iCloud賬戶中的聯繫郵箱發送了威脅郵件;
博主的iCloud賬戶中的Hotmail郵箱也被冒名登錄,該郵箱的登錄密碼亦遭到修改;
博主蘋果賬戶的登錄郵箱和常用郵箱是163郵箱,且博主的iCloud賬戶並未開啟雙重驗證。
所以,博主的描述「用戶個人信息和資料被非法竊取並遭到敲詐勒索」並無任何不妥,而其個人信息的泄露也與iCloud賬戶的非法侵入有著莫大的關聯。然而,該自稱的蘋果(前)員工是否真的像文章所說的那樣「利用職務之便,侵入了受害者的iCloud賬戶並獲取了受害者的個人信息」我們不得而知,而蘋果也正如上文提到的那樣沒有發布任何公開聲明表示該信息侵犯行為是上述員工經由其自稱手段所為。
而通過蘋果官方所述我們又可得知,在未開啟雙重驗證的情況下,非暴力開啟用戶iCloud賬戶的手段只有通過其iCloud賬戶和密碼。所以這時,擺在我們面前的事情就變得很明顯:
有人使用某種手段獲取了博主的iCloud賬號和密碼。
通常來說,有權獲取用戶iCloud賬號信息的不外乎蘋果公司和賬號戶主,而自本次國區iCloud賬戶和秘鑰遷移到中國後,又多了「雲上貴州」一方(蘋果曾表示,僅在公司認為中國政府部門提出的請求合法的情況下才會提供iCloud數據)。然而無論這其中有幾方參與,目前我們唯一可以獲取的事實是,iCloud賬戶信息(數據)確實遭到了泄露。所以我想大家也都想知道,到底是誰泄露出了這個數據?
在正式的調查結果出現前,我們誰也無法定論。然而筆者贅述了這麼多,唯一想說的就是,在此次事件中,除了保管方,我們自身也是一個不容忽視的客體。原因如下:
2015年10月,烏雲宣布發現網易漏洞:網易用戶資料庫疑似泄露,影響數量總共數億條,泄露信息包括用戶名、MD5密碼、密碼提示問題/答案(hash)、註冊IP、生日等。網易163/126郵箱過億數據泄漏(涉及郵箱賬號/密碼/用戶密保等)。
在上文的闡述中,我們不難發現博主iCloud賬戶的郵箱也是163郵箱,雖然已經時過(近)三年,但由於泄露信息之廣,受牽連量之大,筆者沒理由不相信博主的賬號沒有存在風險隱患。如博主所稱,163是其常用郵箱。假如該郵箱在此次泄露之列,在這三年期間,博主又並未提高其163郵箱的安全防護措施,那麼我們也是不是沒有理由不相信博主此次的遭遇與上述泄露有關聯呢?(這裡請允許筆者惡俗地三遍式表述一下,假如無法確認自己的郵箱是否安全,一定要開啟iCloud賬戶的雙重驗證,一定要開啟,一定要開啟,一定要開啟!)
所以163郵箱的用戶在此次事件中受到牽連並不是無稽之談,筆者同樣建議沒有提升過安全防護措施的163用戶至少去修改一下自身的登錄密碼(以及其他信息,最好是都更新一遍)。當然,出現這樣或者類似的問題並不是用戶全部的責任。早前筆者曾了解到某些公司的客服系統不會對客服人員直接提供客戶信息,假如客服需要了解,則要通過申請審批,這樣就最大化的保證了客戶的個人隱私安全,同時也把責任明確到了具體人員和環節上,雖然在流程和花銷上會有相應的提升。
然而無論怎樣,在這件事中,或者是更多的類似的事情中,筆者依然認為並沒有任何一方值得我們完全信賴,儘管對方可能正試圖獲取這些信賴。一旦出現問題,首先受到影響的肯定不會是別人。這時儘管會有數百萬雙眼睛注視著你,但並沒有任何人會知道是誰先動了你的賬號。
onemorething
在Telegram與TechCrunch中文版互動!
TAG:TechCrunch |