在大數(shù)據(jù)時(shí)代,保護(hù)隱私并不容易,黑客只要愿意,可能會(huì)攻破任何他想攻破的東西,只是時(shí)間的問題
“現(xiàn)在我想談?wù)刬Cloud。我們在這個(gè)項(xiàng)目上花了一些時(shí)間,我個(gè)人對此感到非常興奮。”喬布斯在2011年蘋果全球開發(fā)者大會(huì)(WWDC)上如此介紹當(dāng)天的焦點(diǎn)——iCloud。當(dāng)大屏幕上出現(xiàn)大大的“Free”的時(shí)候,喬布斯背著雙手靜靜享受著臺下的歡呼。
喬布斯不會(huì)想到,這個(gè)讓他感到興奮的產(chǎn)品,幾年后讓眾多美國女星感到憤怒。
9月1日,眾多美國大腕女星像詹妮弗·勞倫斯、凱特·厄本、愛莉安娜·格蘭德以及維多利亞·嘉絲蒂等人的裸照接連曝光,有消息稱原因是有黑客攻擊了多個(gè)iCloud賬號所致。目前仍不清楚黑客如何侵入iCloud存儲(chǔ)服務(wù)獲取勞倫斯、厄本以及其他名人的不雅照片,但iCloud的安全性遭到了輿論的廣泛質(zhì)疑。
“照片泄露的根本原因或在于云服務(wù)的賬號被盜。”360安全專家安揚(yáng)對《第一財(cái)經(jīng)日報(bào)》記者表示,黑客可以利用“撞庫”等方式進(jìn)行盜號,此外服務(wù)提供商的用戶數(shù)據(jù)庫泄露也可能導(dǎo)致所有用戶都面臨盜號風(fēng)險(xiǎn)。
而事實(shí)上,這已經(jīng)不是蘋果產(chǎn)品第一次涉及“泄露”事件,iOS此前曾被曝涉及多個(gè)“秘密后門”。
而就在8月中旬,蘋果還針對中國用戶的數(shù)據(jù)從國外轉(zhuǎn)存至中國電信云存儲(chǔ)發(fā)表聲明稱,云端服務(wù)商要加強(qiáng)數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù),及時(shí)修補(bǔ)漏洞,防止黑客入侵和撞庫等盜號攻擊。
“云端”的漏洞
大多數(shù)蘋果用戶一定對iCloud并不陌生,iCloud是蘋果在2011年WWDC大會(huì)上發(fā)布的一項(xiàng)全新云存儲(chǔ)服務(wù)。該服務(wù)為用戶提供5GB的免費(fèi)存儲(chǔ)空間,用戶可以通過iCloud對設(shè)備內(nèi)的通訊錄、郵件、照片等私人數(shù)據(jù)進(jìn)行備份。蘋果CEO庫克曾經(jīng)表示,iCloud是蘋果未來10年戰(zhàn)略的一部分。
但顯然他沒有把黑客帶來的影響考慮在內(nèi)。
有消息稱,黑客利用iCloud存儲(chǔ)服務(wù)漏洞檢索名人不雅照片,而這些照片被貼在了國外的4chan論壇上,黑客試圖借此賺取比特幣。
發(fā)布照片的黑客宣稱,他擁有勞倫斯60多張自拍照片,當(dāng)然并非所有都是裸照,還包括穿泳衣的自拍照。
而理論上,這種侵犯也可能出現(xiàn)在任何使用iCloud服務(wù)的蘋果用戶身上。
“事實(shí)上,在大數(shù)據(jù)時(shí)代,保護(hù)自己的隱私并不容易,黑客只要愿意,可能會(huì)攻破任何他想攻破的東西,只是時(shí)間問題。”酷派互聯(lián)網(wǎng)中心相關(guān)負(fù)責(zé)人王登科告訴《第一財(cái)經(jīng)日報(bào)》記者,數(shù)據(jù)到云端的傳輸過程,密碼傳到服務(wù)器的過程以及云端存儲(chǔ)的過程都有可能遭受到黑客的入侵。
從過去到現(xiàn)在,iCloud一直以極其易用著稱,但就像其他云端服務(wù)業(yè)者一樣,iCloud 的數(shù)據(jù)會(huì)同步在各種裝置上,一旦裝置發(fā)生問題,就可能引發(fā)隱私泄露的風(fēng)險(xiǎn)。
安揚(yáng)認(rèn)為,此次賬號被盜有三種可能:一是iCloud 賬號使用了常用的注冊郵箱和密碼,黑客可以利用“撞庫”方式進(jìn)行盜號(黑客入侵一些安全性比較差的網(wǎng)站,竊取用戶注冊郵箱和密碼后,在iCloud等重要網(wǎng)站或服務(wù)上嘗試登錄);二是服務(wù)提供商的用戶數(shù)據(jù)庫泄露,導(dǎo)致所有用戶都面臨盜號風(fēng)險(xiǎn);三是設(shè)備或網(wǎng)絡(luò)環(huán)境存在安全問題,比如設(shè)備感染木馬病毒,或者是在黑客的釣魚WiFi中登錄賬號,都有可能導(dǎo)致賬號密碼泄露。
而在此前,已有網(wǎng)友曝光了一個(gè)存在于蘋果iCloud系統(tǒng)的重大漏洞,這個(gè)漏洞可以在沒有密碼的前提下關(guān)閉被盜iPhone的“查找我的iPhone”功能。雖然蘋果也開始加強(qiáng)iCloud和Apple ID的賬戶安全,在賬戶登錄過程中添加了雙重身份認(rèn)證,但依然沒有避免安全漏洞事件發(fā)生。
面對照片泄露,勞倫斯的發(fā)言人稱:“這是公然侵犯隱私的行為。我們已經(jīng)聯(lián)系相關(guān)部門,那些發(fā)布勞倫斯被偷照片的人將被起訴。”
移動(dòng)時(shí)代的數(shù)據(jù)安全
越來越多的大公司開始在數(shù)據(jù)安全領(lǐng)域做持續(xù)投入。
8月7日, Facebook宣布,該公司將收購互聯(lián)網(wǎng)安全企業(yè)PrivateCore,后者可幫助Facebook保護(hù)服務(wù)器免受“惡意軟件、未經(jīng)授權(quán)的物理訪問以及惡意硬件設(shè)備”的侵襲。Facebook首席安全官喬·蘇利文(Joe Sullivan)表示:“人們非常關(guān)注托付給Facebook等服務(wù)的數(shù)據(jù)安全性。”
8月12日,IBM完成收購了云托管安全服務(wù)提供商Lighthouse Security Group。IBM通過此次收購可提供一套獨(dú)特的身份和訪問管理產(chǎn)品,將經(jīng)過驗(yàn)證的軟件和分析技術(shù)與專業(yè)托管服務(wù)整合在一起,為數(shù)字世界里的企業(yè)處理復(fù)雜的安全問題提供方便。
Twitter也在上個(gè)月收購了一家小型密碼安全創(chuàng)業(yè)公司Mitro,來幫助其改善地理定位能力。
但現(xiàn)實(shí)中,安全漏洞依然不時(shí)發(fā)生。
王登科對《第一財(cái)經(jīng)日報(bào)》記者表示:“從目前手機(jī)產(chǎn)業(yè)的情況看,在面臨安全性問題時(shí),大多數(shù)手機(jī)廠商是準(zhǔn)備不足的。”王登科稱,信息安全的加密從技術(shù)角度來看是成熟的,但如何與自身產(chǎn)品融合還需要一個(gè)過程。此外,沒有任何東西是絕對安全的,要是想破解密碼,需要的只是時(shí)間。
“從收益來看,安全投入并不直接產(chǎn)生效益。一般手機(jī)廠商說要建數(shù)據(jù)中心,沒有上千萬很難達(dá)成,比如500臺服務(wù)器,1臺5萬,就是2500萬的成本,還有這個(gè)數(shù)據(jù)中心帶來的帶寬費(fèi)用以及流量等都是要考慮的因素。”王登科說。
不過,王登科對本報(bào)記者說,他認(rèn)為云端存儲(chǔ)依然是未來的趨勢,數(shù)據(jù)到云端的傳輸過程中,企業(yè)可以加密傳輸渠道,而在云端,企業(yè)也可以做特定的密鑰來防止黑客入侵。
安揚(yáng)則對記者表示,云端服務(wù)商要加強(qiáng)數(shù)據(jù)中心的網(wǎng)絡(luò)安全防護(hù),及時(shí)修補(bǔ)漏洞,防止黑客入侵和撞庫等盜號攻擊。此外還需要對重要數(shù)據(jù)進(jìn)行加密保護(hù),更重要的是為用戶提供更高級別的賬號驗(yàn)證機(jī)制,訪問重要數(shù)據(jù)推薦使用多重驗(yàn)證,而不僅僅依賴賬號密碼。
“而對于普通網(wǎng)民來說,手機(jī)、電腦需要開啟安全軟件,預(yù)防和查殺木馬病毒,一些重要賬號一定要單獨(dú)設(shè)置密碼,并定期更換密碼,避免使用他人設(shè)備或非可信的WiFi網(wǎng)絡(luò)登錄賬號。”安揚(yáng)告訴本報(bào)記者。