如果你经常上网,或许听说过《连线》记者马特·霍楠(Mat Honan)的悲惨遭遇:他的数字生活几乎被几名黑客彻底摧毁。他们侵入了他的Twitter、Gmail、亚马逊和苹果iCloud账号,接管了它的Macbook、iPhone和iPad,还远程删除了这些设备中的所有数据。霍楠本人亲眼目睹了整个过程。
这些不法行为多数都是通过社交工程完成的,根本没有什么技术含量。不法分子通过一些小伎俩更改了霍楠的亚马逊账号,从那里看到了他信用卡账号的后四位,并借此进入了他的苹果电子邮箱。如此这般之后,霍楠多年来积累的电子邮件和家庭照片都不翼而飞,他的Twitter账号也开始充斥种族言论。整个过程持续了大约1小时。
霍楠犯了一个很多人都会犯的错误:将多个账号相互关联,并在电子邮箱、密码以及类似的信息中使用了相似的格式。从这个角度来讲,他只能怪自己。但对苹果和亚马逊而言,情况似乎更糟,因为这表明他们的政策和员工似乎都不堪一击。霍楠在《连线》网络版撰文,详细阐述了整个进攻发生的过程,并指出,他能够复制这一过程。
一位亚马逊发言人说:“我们已经调查了这一报道揭露的问题,而且可以证实,昨天下午已经解决了问题。”苹果发言人则表示:“在这个个案中,客户数据是被已经获得客户个人信息的人窃取的。另外,我们发现我们的内部政策并未严格执行。我们正在评估所有流程,并重设账号密码,确保我们的客户数据受到应有的保护。”
苹果似乎轻而易举地堵上了那个把霍楠的数字生活搞得一团糟的漏洞。尽管如此,这一事件还是给我们一个警示,让我们意识到云计算时代可能面临的新问题。“作为一种传统的机制,密码在云计算时代或许不再是一种恰当的安全方式。”霍楠说。借助购买彩铃时使用的密码,就可以远程删除电脑中的所有数据,只需用iCloud的Find My工具即可实现。“这种现状必须改变,”霍楠说,“应当加一个密码或者加一层认证机制。”
这起事件还有一个令人意外的地方:有一家屡屡在用户被黑的报道中被提及的公司,这一次却没有出现,那就是微软。苹果如今已经成了最吸引黑客目光的公司,相信微软会因此而失落。
发动攻击的黑客已经与霍楠取得了联系,这群自称只有19岁的年轻人表示,他们只是为了用霍楠的Twitter账号开个玩笑。鉴于这些人的信誉不佳,所以他们的真实年龄和意图无法确定。不过,显然有很多年轻黑客愿意抽出周末的时间在亚马逊和苹果上练手。几年前,这一直都是微软的专利。而如今,风头则被苹果抢走。
苹果已经为霍楠提供了一些帮助,但该公司只承认在此事中负有很小的责任。有业内人士认为,苹果是在找借口,一旦一家公司开始找借口,表明它已经不酷了。
此前不久,苹果今年7月在黑帽安全大会上的演讲也广受批评。该公司平台安全主管达拉斯·德阿特里(Dallas De Atley)的演讲平淡无奇,没有任何启发意义。他几乎是重复了一年前发布的一份白皮书。
说回霍楠,他也犯了很多错误。“每当妻子问我还能否找回那些照片时,我都很惭愧。”他说,“我感觉我是罪魁祸首。”此事的独特之处在于,为了了解黑客的行为方式,霍楠主动放弃了“抵抗”。如此看来,他似乎是想用自己的悲催经历换得一点名声。