你信任一家跨国大公司,并一直使用这家公司的云服务。然而,突然一天,你用来注册该公司网络服务账号的邮箱收到一封自称是这家公司技术顾问发来的勒索邮件,他在邮件里声称要把你存在云服务的资料全分享出去。
你惊惶无措,却又无可奈何。
这样令人不寒而栗的事情并不只存在于恐怖片桥段,有一天,它也可能出现在我们的现实生活。
一个ID为“@美国往事1999”的博主在微博上讲述了这样一起事件,其中,这家“跨国大公司”是苹果,而云服务为iCloud。在这篇题为《苹果官方技术顾问非法窃取用户个人信息和资料并敲诈勒索的事件》微博文章中,“美国往事1999”称,自己因为iCloud事宜,与“苹果技术顾问”在电话里发生口角。
这位技术顾问在用客服热线对“@美国往事1999”进行辱骂之后,用自己的手机再次拨打“美国往事1999”的电话进行辱骂(这段内容有录音内容佐证),并告知,他利用职务之便,侵入“美国往事1999”的iCloud账户,拷贝了“美国往事1999”的个人信息和资料,并往该用户三个邮箱(163、Hotmail、iCloud,这三个邮箱均与用户的Apple ID有关)各发了一封邮件,邮箱就是他的QQ号,让用户加他QQ。如果一小时后“美国往事1999”没加他QQ。他就把用户个人信息和资料往外发,并他还威胁用户“以后苹果设备包括手机和电脑就别想用了”。
根据“美国往事1999”的说法,他随后发现自己的Hotmail邮箱密码被修改。在找回密码登录之后,他发现自己的Hotmail和iCloud邮箱,的确收到了这位“技术顾问”发送的威胁内容,而他的163邮箱还收到苹果官方发送的通知信,他的Apple ID被用于登录了iCloud。从时间上推断,他表示这次登录并非他所为。
该用户表示,“苹果的iCloud里面存储有通讯录、照片、邮件、云盘、备忘录等大量重要的个人信息和资料,而且我的备忘录里还有许多金融和其他领域的账户的用户名和密码。”
他随后向苹果客服反映此事,并提出三个要求:
- 尽快确认该客服(技术顾问)身份和部门尽快核实该客服拷贝了多少他的个人信息和资料,以及是否用作他用尽快核实他的iCloud是否仍安全
在该文的***,“美国往事1999”表示,他已经就此事报警。
从这位博主昨日中午发的微博来看,苹果方面已经联系了他,“涉事员工已被开除”,但具体信息没有被透露。而该博主主要诉求“该员工窃取拷贝了多少个人信息和资料,有没有做他用”,苹果“最终就是不给说法。”
该微博文章原文较长,想进一步了解这起事件细节的各位可以移步至该博主微博。
云上贵州不背锅
从“美国往事1999”的博文来看,这起事件发生于今年的2月28日,刚好是中国大陆的Apple ID相关联的iCloud服务转由“云上贵州”运营的***天。
这是一个敏感的时间点。微博上有用户认为这起事件与iCloud更换运营方有所关联。
不过,当事人“美国往事1999”在后续微博里否认了这一点。他表示,“我打的是苹果官方400客服电话,接待人员是苹果技术顾问,和云上贵州员工无关”。
这起事件仍有值得推敲的细节
诚然,恐怖片桥段出现在我们的现实生活既让我们恐惧又让我们愤怒。
但在愤怒之余,单就“美国往事1999”发布的博文而言,仍有一些细节需要我们去求证。
“美国往事1999”公布的录音可以被视为“苹果技术人员”辱骂并恐吓用户的实锤证据。只是,另一方面我们也不能忽视,iPhone至今仍没有便捷的通话录音功能,尤其是在用户接电话的过程中。
当然,如果“美国往事1999”在使用iPhone 4(根据录音内容)之外,还使用Android手机,通话录音也不难做到。
然而,这起事件还有一个核心问题值得推敲。
从加密技术上看,iCloud的安全性还是比较高的。其大部分服务在传输过程和服务器上都采用至少128位的AES加密。而如果有关iCloud钥匙串、付款信息等私密数据时,服务则是采用了***防护级别——端到端加密。这时就算是苹果,在没有拿到用户手机的情况下,也是无法获取这部分数据。
根据录音内容,该技术顾问是通过“利用职务之便”获得的“美国往事1999”隐私信息的。这是否意味着,苹果内部人员获取用户信息的门槛其实并不高?如果不是,那么这位技术顾问又是如何精确获得用户iCloud隐私的?这背后又有没有灰色产业链?
针对这些疑问,PingWest品玩尝试联系了“美国往事1999”和苹果方面。
“美国往事1999”表示,“现在事情比较多”,等时间方便了可以向我们提供具体信息。而苹果方面则表示,对于这起事件,“抱歉目前我们没有任何回应,感谢关注。”