來源:TechWeb、中關村在線
作者:商皛、易木、馬榮
導語
只需要一個帳號和密碼,就可以「春光乍洩」,又一波好萊塢女星躺槍。所以頭腦比較簡單的姑娘們,千萬不要被酷炫的高科技欺騙了,它在幫你保護數據的同時也會變成雙刃劍,歸根結底,隱私一定要保護好。
據美國新聞網站The Daily Beast 9月28日報導, 蘋果iCloud豔照門事件再次發酵,第三波女星的私照被發布在了Reddit和4chan等網站上。被波及的女明星包括昔日的童星艾米麗•布朗寧、安娜•肯德裡克等人。
iCloud豔照門事件再發酵:昔日童星艾米麗被波及
好萊塢豔照門事件,源於黑客盜取了用戶iCloud的帳號及密碼,並獲得了他們的私照,隨即黑客將之公之於眾。第一波受害女明星達到了100位,其中包括了當紅名人包括詹妮弗•勞倫斯、凱特•厄本、維多利亞•嘉絲蒂等眾多大腕女星。
在本次第三波曝光的照片中,最新的豔照女主角包括了安娜•肯德裡克和童星出身的艾米麗•布朗寧。另外,珍妮佛•勞倫斯又有55張新照片被曝光。這次被牽連的明星還包括超模卡拉•迪瓦伊前排球明星梅•特雷納、模特卡莉•福克斯和電視主持人布魯克•伯恩斯等。
遲到的作為:蘋果半年前已知存在漏洞
一份蘋果與某安全研究人員的來往郵件顯示,倫敦的軟體開發人員ibrahimbalic早在3月26日時就向蘋果提交了一份安全反饋,稱他已經成功繞過了icloud安全機制,發動了brute-force攻擊(窮舉暴力破解密碼),並且他可以在任意icloud帳戶上嘗試2萬多個密碼組合,而帳戶並不會被鎖定。
這其實是一個很容易解決的問題,但是蘋果並沒有採取相關的措施。值得注意的是並不是蘋果沒有發現這份郵件,而是在郵件發出一小時後就進行了回復,然後就沒有下文了。
現在蘋果推出了一個安全提醒服務,當有人嘗試修改帳戶密碼、將icloud數據恢復到新設備上或者首次使用帳戶登錄一款設備時,蘋果將通過電郵和推送通知的方式向用戶發出警告。蘋果還正式為icloud.com網站開啟了兩步驗證機制,當用戶想要訪問icloud.com網頁應用時,登陸需要輸入驗證碼。只有當用戶輸入正確驗證碼時,才可以訪問郵件、通訊錄、日曆、提醒事項、pages、numbers和keynote等應用。
好萊塢明星豔照門事件給許多人帶來了邪惡的快樂,同時也給我們帶來了恐慌:為什麼iCloud裡的照片那麼容易就被盜出來了呢?我們的信息是怎麼被洩露出來的呢?
聯繫人資料是一切洩露的起點
既然是「有料」的內容,我們就先來說說好萊塢事件是怎麼發生的。如果我是一個黑客,我要做的第一件事情是什麼呢?那就是猜測一個圈內人的郵箱,更簡單的辦法一般來說是購買那種所謂的名人私人聯繫方式名單。
好了,比如說我們在這份名單裡找到了L先生的郵箱,L先生雖然不是演員,但是是一個在娛樂圈裡邊很吃得開的人。L先生的郵箱只需要3個簡單問題就可以找回密碼,他們分別是:我在哪上的小學,我最喜歡吃什麼,我第一次出鏡是什麼時候。
這3個問題如果放在筆者身上肯定是不得而知的,但是L先生是個公眾人物,平時又喜歡參加那種訪談類節目,過去那點事兒早就抖落的人盡皆知了,於是乎黑客就成功的取得了L先生的郵箱權限,成功的進去了L先生的郵箱。
然而,這只是一個起點。你得到的只是L先生一個郵箱,L先生雖然業內人緣好,但是早有妻室也並無緋聞,所以顯然找不到任何關於L先生的「邪惡照片」。但是L先生有個使用郵箱整理聯繫人的好習慣,而且由於人緣好,郵箱裡的人員數量也是非常龐大的。
女性消費者更加趨向於一個帳號解決所有問題這就給黑客留下了被盜的根源
這些聯繫人裡邊自然少不了那些緋聞纏身的女星們,要知道女人的郵箱數量往往比男人少很多,所以女星們的郵箱就很可能是他的iCloud帳號了。iCloud帳號裡邊有著非常龐大的聯繫人,於是乎我們的聯繫人網絡就這麼一波一波一波的建立起來了。
郵件自動轉發是很多郵件服務商提供的方便功能但是往往不會被人發現
當然這還不是最危險的,在盜號之後黑客往往會連帶設置一些2次同步項,比如把收到的郵件自動轉發,比如把發送出去的信息自動轉發,比如把附件啊圖片啊什麼的來個自動轉發,當然以上所有功能都需要我們的郵箱服務商(iCloud)做支持,但是被盜號的人9成反應不過來這裡會有問題,即使把密碼改過來,仍然會不斷的洩露信息。
你的信息會洩露麼?問題設定有技巧
現在的你有沒有發現這些明星iCloud以及郵箱被破解的關鍵在哪?在於我們把問題設定的太簡單了。而這個問題是否簡單,一定要再衡量一個點,那就是你的這些信息是否真正隱秘的。我給大家舉個最簡單的例子,比如我有個朋友,他叫「諸葛麒麟」,他的帳號叫做zhugeqilin880229,然後他設定了什麼問題呢?
問題一:我姓什麼?
問題二:我爸爸姓什麼?
問題三:我是什麼星座的?
當然這屬於一個極端213的例子,他在帳號裡邊就寫明了所有問題的答案,我們一般人絕對不會犯這個錯誤,但是對於明星(公眾人物)就不一樣了,你可能已經在3個節目裡邊和別人說過你小學的光榮戰績,在2個訪談裡邊大談對父母的感情,順便再為了提高知名度,放個「芒果臺」知名「坑爹」節目的假消息,就連孩子那點事兒也抖落乾淨了。
無論是電子郵件驗證還是回答安全問題單一的認證都很容易洩露信息
這些話聽起來很可笑,但是名人世界無隱私並不是一句玩笑話,一個人只想讓自己一方面拼命曝光在世人面前,另一方面絲毫不見是極難的。很多我們平時看來不可能知道的事情,一個鐵桿粉絲很可能背的溜溜轉了,而這些粉絲本身就對傳播這些隱私頗為樂道,所以說想要真的不被知道真的太難太難。
如何防止洩露?
一般來說icloud這類密碼洩露問題都是基於安全策略的漏洞。網際網路上充斥著各種密碼字典 如果你有重複那就死定了。如果我們如果想要防止類似的洩露情況,最根本的辦法只有1個,那就是完全不相信類似產品,昨天的修電腦與今天的雲存儲,昨天的Edison Chan與今天的Jennifer Lawrence雖然照片露出渠道非常不同,但是他們犯了一個相似的錯誤,那就是讓別人接觸到了儲存這些東西的介質。
目前我們可以買到很多社會工程學相關的書籍,可以有效避免信息的洩露。
我們一定要記住一個點,那就是現在的最流行的玩法已經從尋找技術漏洞轉移到了社會工程學攻擊上,你在生活中的任何一丁點信息都可能導致嚴重的蝴蝶效應,沒準你今天在微信朋友圈中曬得幸福,就是你明天被人算計的起點,謹慎曬生活非常重要。
隱私安全如何保 多點防護是關鍵
如果我們非要使用雲存儲,有哪些關鍵點可以防止這些信息洩露呢?
利用RAR之類的軟體做壓縮加密是個很簡單的方法
首先最重要一個點,不要使用太簡單的密碼,現在服務商對於暴力破解的防範越來越松,服務商都認為那些老套的規則可以抵禦住破解,卻忽略了這些老套的規則也許不能覆蓋所有的入口。
然後就是如果數據真的很重要,首先我們最好不要把他儲存在公開雲當中。所以還是要給予這一部分數據第2次密碼認證,這樣即使文件被盜,強密碼想要通過暴力破解仍然是不可能的事情。
最後就是帳號方面,我們建議大家最好把自己的帳號分級以避免撞庫等類似情況,比如一般的網站使用A帳號,帶有一定交易性質的網站(電子商務、淘寶)和聯繫人、信用卡等信息的使用B帳號,保存關鍵隱私使用C帳號,這樣的話帳號即使洩露也洩露不到C帳號上。
另外,不要隨意下載不明APP手機應用。收到陌生號碼的簡訊要慎重,不要輕易點擊其中的連結,不要輕易打開信息中的連結,8月在全國範圍大規模傳播的「蝗蟲木馬」就是利用簡訊方式迅速蔓延。不要連入安全性未知或陌生的wifi網絡,這樣的行為也可被黑客利用。雲存儲依然是手機存儲未來的發展方向,但用戶在使用雲存儲時除了用公共雲之外,最好配一個私人云。
【連結】:教你徹底刪除iCloud裡的裸照
還沒刪的趕緊刪,慶幸自己早就「毀屍滅跡」的姑娘也別暗自高興,蘋果強大的iCloud照片流早已經幫你進行了雲端備份,說不定已經同步到你的iPad、Mac電腦中,好萊塢女星們不就是這麼躺槍的嗎?
姑娘們,別擔心拿來你們的手機,哥接下來手把手教你徹底刪除iPhone上的豔照?
第一步:打開相簿你會發現兩個文件夾,一個叫相機膠捲另一個叫我的照片流,如果你刪過圖片對比發現,照片流中存放的圖片要比相機膠捲中的多。因為iCloud雲同步的原因,你拍攝的圖片會在WiFi網絡下自動同步到iCloud中,因此即便後期刪除了豔照,也會留有備份在雲端。
打開照片流
第二步:所以我們要刪除照片流中的圖片,刪除這裡的圖片就等於刪除iCloud中存放的備份。點擊右上角的「編輯」按鈕,最下右角會出現「刪除」按鈕,您可以選擇性的選擇一張照片,也可以全部選中照片,全部刪掉。
第三步:當然別以為刪除了照片你就萬事大吉了,為了避免以後在此出現這種問題,你還需要關閉雲存儲功能,步驟是設置——iCloud——照片流——關閉「我的照片流」和「共享的照片流」。
關閉同步內容
關閉「我的照片流」,會彈出一個對話框「關閉「照片流」將會刪除iphone照片流中的所有照片。」確認了要刪掉所有的照片就點擊「刪除照片」按鈕。
這樣就徹底的把icloud裡面的照片全部刪除,如果再次開啟該功能,雲端上也沒有舊照片自動加載了,真正的完全清除了照片流內的照片。