“现在我想谈谈iCloud。我们在这个项目上花了一些时间,我个人对此感到非常兴奋。”乔布斯在2011年苹果全球开发者大会(WWDC)上如此介绍当天的焦点——iCloud。当大屏幕上出现大大的“Free”的时候,乔布斯背着双手静静享受着台下的欢呼。乔布斯不会想到,这个让他感到兴奋的产品,几年后让众多美国女星感到愤怒。
9月1日,众多美国大腕女星像詹妮弗·劳伦斯、凯特·厄本、爱莉安娜·格兰德以及维多利亚·嘉丝蒂等人的裸照接连曝光,有消息称原因是有黑客攻击了多个iCloud账号所致。目前仍不清楚黑客如何侵入iCloud存储服务获取劳伦斯、厄本以及其他名人的不雅照片,但iCloud的安全性遭到了舆论的广泛质疑。
“照片泄露的根本原因或在于云服务的账号被盗。”安全专家安扬对《第一财经日报》记者表示,黑客可以利用“撞库”等方式进行盗号,此外服务提供商的用户数据库泄露也可能导致所有用户都面临盗号风险。
而事实上,这已经不是苹果产品第一次涉及“泄露”事件,iOS此前曾被曝涉及多个“秘密后门”。
而就在8月中旬,苹果还针对中国用户的数据从国外转存至中国电信云存储发表声明称,云端服务商要加强数据中心的网络安全防护,及时修补漏洞,防止黑客入侵和撞库等盗号攻击。
“云端”的漏洞
大多数苹果用户一定对iCloud并不陌生,iCloud是苹果在2011年WWDC大会上发布的一项全新云存储服务。该服务为用户提供5GB的免费存储空间,用户可以通过iCloud对设备内的通讯录、邮件、照片等私人数据进行备份。苹果CEO库克曾经表示,iCloud是苹果未来10年战略的一部分。
但显然他没有把黑客带来的影响考虑在内。
有消息称,黑客利用iCloud存储服务漏洞检索名人不雅照片,而这些照片被贴在了国外的4chan论坛上,黑客试图借此赚取比特币。
发布照片的黑客宣称,他拥有劳伦斯60多张自拍照片,当然并非所有都是裸照,还包括穿泳衣的自拍照。
而理论上,这种侵犯也可能出现在任何使用iCloud服务的苹果用户身上。
“事实上,在大数据时代,保护自己的隐私并不容易,黑客只要愿意,可能会攻破任何他想攻破的东西,只是时间问题。”酷派互联网中心相关负责人王登科告诉《第一财经日报》记者,数据到云端的传输过程,密码传到服务器的过程以及云端存储的过程都有可能遭受到黑客的入侵。
从过去到现在,iCloud一直以极其易用著称,但就像其他云端服务业者一样,iCloud 的数据会同步在各种装置上,一旦装置发生问题,就可能引发隐私泄露的风险。
安扬认为,此次账号被盗有三种可能:一是iCloud 账号使用了常用的注册邮箱和密码,黑客可以利用“撞库”方式进行盗号(黑客入侵一些安全性比较差的网站,窃取用户注册邮箱和密码后,在iCloud等重要网站或服务上尝试登录);二是服务提供商的用户数据库泄露,导致所有用户都面临盗号风险;三是设备或网络环境存在安全问题,比如设备感染木马病毒,或者是在黑客的钓鱼WiFi中登录账号,都有可能导致账号密码泄露。
而在此前,已有网友曝光了一个存在于苹果iCloud系统的重大漏洞,这个漏洞可以在没有密码的前提下关闭被盗iPhone的“查找我的iPhone”功能。虽然苹果也开始加强iCloud和Apple ID的账户安全,在账户登录过程中添加了双重身份认证,但依然没有避免安全漏洞事件发生。
面对照片泄露,劳伦斯的发言人称:“这是公然侵犯隐私的行为。我们已经联系相关部门,那些发布劳伦斯被偷照片的人将被起诉。”
移动时代的数据安全
越来越多的大公司开始在数据安全领域做持续投入。
8月7日, Facebook宣布,该公司将收购互联网安全企业PrivateCore,后者可帮助Facebook保护服务器免受“恶意软件、未经授权的物理访问以及恶意硬件设备”的侵袭。Facebook首席安全官乔·苏利文(Joe Sullivan)表示:“人们非常关注托付给Facebook等服务的数据安全性。”
8月12日,IBM完成收购了云托管安全服务提供商Lighthouse Security Group。IBM通过此次收购可提供一套独特的身份和访问管理产品,将经过验证的软件和分析技术与专业托管服务整合在一起,为数字世界里的企业处理复杂的安全问题提供方便。
Twitter也在上个月收购了一家小型密码安全创业公司Mitro,来帮助其改善地理定位能力。
但现实中,安全漏洞依然不时发生。
王登科对《第一财经日报》记者表示:“从目前手机产业的情况看,在面临安全性问题时,大多数手机厂商是准备不足的。”王登科称,信息安全的加密从技术角度来看是成熟的,但如何与自身产品融合还需要一个过程。此外,没有任何东西是绝对安全的,要是想破解密码,需要的只是时间。
“从收益来看,安全投入并不直接产生效益。一般手机厂商说要建数据中心,没有上千万很难达成,比如500台服务器,1台5万,就是2500万的成本,还有这个数据中心带来的带宽费用以及流量等都是要考虑的因素。”王登科说。
不过,王登科对本报记者说,他认为云端存储依然是未来的趋势,数据到云端的传输过程中,企业可以加密传输渠道,而在云端,企业也可以做特定的密钥来防止黑客入侵。
安扬则对记者表示,云端服务商要加强数据中心的网络安全防护,及时修补漏洞,防止黑客入侵和撞库等盗号攻击。此外还需要对重要数据进行加密保护,更重要的是为用户提供更高级别的账号验证机制,访问重要数据推荐使用多重验证,而不仅仅依赖账号密码。
“而对于普通网民来说,手机、电脑需要开启安全软件,预防和查杀木马病毒,一些重要账号一定要单独设置密码,并定期更换密码,避免使用他人设备或非可信的WiFi网络登录账号。”安扬告诉本报记者。