好萊塢“艷照門”教會了我們什么?
責編:admin |2014-09-04 14:51:27正在持續發酵的好萊塢“艷照門”事件已經造成包括90后奧斯卡影后詹妮弗-勞倫斯(Jennifer Lawrence)、凱特-厄本(Kate Upton)、愛莉安娜-格蘭德(Ariana Grande)以及維多利亞-嘉絲蒂(Victoria Justice)等超過100位明星的私密艷照外泄。從目前的情況來看,黑客似乎是利用了蘋果公司iCloud云存儲(也有可能包括了來自其他云存儲服 務)的漏洞獲取了這些照片,并將其上傳至了著名匿名圖片分享社區4chan。
在過去數天,網絡安全專家和部分網友通過人肉搜索發現幕后黑手可能是一名27歲的軟件工程師布萊恩-哈馬德(B ryan F·Hamade)。哈馬德承認自己于8月31日在4chan網站上發布了部分女星的艷照,最初目的是想通過100美元一張的艷照來賺錢,但他堅決否認自己是這些照片的來源所在,并希望找辯護律師和黑客來力證自己的清白。
分析人士指出,此次的黑客入侵事件同此前名人數據泄露事件中所經常使用的零日漏洞攻擊有所不同,因為iCloud云服務賬戶(尤其是其中的“Find My iPhone”功能)登錄密碼存在被惡意“暴力破解”的風險。黑客可以反復嘗試登錄密碼,而iCloud并不會發出警告或鎖定登錄界面。所以只要有足夠耐心,并且漏洞持續時間足夠長,黑客就可以在密碼本的幫助下進行破解。當然對于明星們來說,最安全的方法就是不要將任何照片上傳至蘋果iCloud服務器。
對此,蘋果已經承認了此次黑客入侵事件,并在聲明中表示:“黑客對某些名人賬號進行了專門針對其用戶名、密碼等的攻擊,而這些攻擊在互聯網上十分常見。為了防止此類事件的再次發生,我們強烈建議用戶使用強度更高的密碼,并同時激活‘兩步認證程序’(two-factor authentication)。”
千瘡百孔
應該說,諸如蘋果iCloud和其他一些云存儲服務的安全性早在此次“艷照門”事件爆發前就已經是千瘡百孔。早在數年前,包括美國流行樂天后克里斯蒂娜-阿奎萊拉(Christina Aguilera)、美國女演員、好萊塢性感女星斯嘉麗-約翰遜(Scarlett Johansson)和其他一些明星的賬戶就在2011年被一名來自佛羅里達州的男子成功侵入。據悉,該男子當時幾乎是基于入侵目標的個人信息通過“猜”的方法來入侵這些賬戶的,而最終這名黑客也被判入獄10年。
與此同時,知名科技媒體《連線》高級記者馬特-霍曼(Mat Honan)也曾在2012年對外詳細闡述了自己iCloud賬戶遭到黑客入侵,導致iPhone、iPad和MacBook Air數據被遠程刪除的詳細過程。
據悉,黑客當初攻擊霍曼賬號的動機是想得到其Twitter賬號,然后向其1.5萬名收聽者廣播大量垃圾信息。因此黑客從霍曼的iCloud賬號入手,一旦iCloud賬號在他們的控制之下后,他們就能夠恢復霍曼的谷歌和Twitter帳戶密碼。通過使用蘋果的“Find My iPhone”和“Find My Mac”服務,黑客能夠遠程清除掉霍曼iPhone、iPad和MacBook Air上的數據,并且永久地刪除了他的谷歌郵箱賬號。
而且,在黑客們攻擊的過程中發現霍曼之前已經鏈接了Gizmodo的Twitter賬號。因此除了霍曼的1.5萬名收聽者外,黑客還能夠向Gizmodo Twitter賬戶的超過40萬收聽者發送信息。
但是最令人震驚的地方還在于黑客攻擊霍曼iCloud賬號的方法。霍曼介紹稱,黑客只需給蘋果打電話提供給自己的真實地址、信用卡號最后四個數字(這些信息之前黑客已經從其他渠道獲得)就可以實現這一點。然后蘋果的技術支持就會通過黑客提供的這些信息重置霍曼的iCloud的帳戶,并向黑客們發送出臨時的iCloud密碼。
因此,雖然蘋果現在鼓勵用戶激活“兩步認證程序”,但如果此次黑客采用類似霍曼事件中的攻擊方法的話,即便是這一方法恐怕也無法做到萬無一失,因為他們完全可以通過其他方式獲悉用戶的四位安全碼。
何去何從
目前,包括蘋果iCloud、Android 、Google Plus、Yahoo Flickr等許多云服務都會默認同步備份用戶的圖片數據。即便你在設置中禁止了默認同步功能,用戶也無法控制這些照片的接收方是否會做出同樣的抉擇。而且,就算是諸如SnapChat、Glimpse和Wickr這些閱后即焚類應用也沒有禁止用戶通過屏幕截圖的形式保存圖片。
從本質而言,云存儲應該是一個鼓勵用戶分享、傳輸數據的平臺,但用戶卻習慣在這樣一個平臺存放一些私密照片。因此,一旦云端服務系統出現漏洞或者用戶操作不當都有可能使用戶數據出現泄露的風險。而且,當云端服務遭遇入侵時,如果黑客沒有被找到的話用戶恐怕也無能為力,因為云存儲服務商早就在自己的“使用條款”中規避了幾乎一切責任。
硅谷網絡安全公司Adallom CEO泰爾-克萊因(Tal Klein)認為:“從此次的泄露事件中我們可以得出兩點結論:1. 不要拍攝不該拍攝的照片,因為這些照片遲早會在某個時候被泄露出去。2. 不是所有的云存儲服務都擁有相等的安全保障,而云服務提供商通常都不會被數據泄露事件所牽連。
日前,英國喜劇男星瑞奇-熱維斯(Ricky Gervais)曾發推文呼吁“大明星們,給電腦加密不讓黑客入侵,不如別把這些隱私照片存在電腦里。”事實上,此次的“艷照門”事件并不是明星們的過錯,但他們理應在此次事件后更加看清當今云存儲服務的真正面貌。而在另一方面,智能手機制造商和云存儲服務商應該在今后更加透明的闡述自己的安全機制,同時給予用戶在云端數據上傳時更大的選擇權。