| 北京時(shí)間8月8日消息�,《連線》雜志近日刊載署名為邁特·霍南(Mat Honan)的文章稱���,他的數(shù)字生活在短短一個(gè)小時(shí)中就被摧毀了,其谷歌(微博)賬號(hào)�����、Twitter賬號(hào)和Apple ID全被盜用���,黑客藉此遠(yuǎn)程清除了他iPhone����、iPad和MacBook中的所有數(shù)據(jù)�。文章指出,事情暴露出了多個(gè)客戶服務(wù)系統(tǒng)中生死攸關(guān)的安全漏洞�����,主要是蘋果和亞馬遜系統(tǒng)中的漏洞����。
以下是這篇文章的概要內(nèi)容:
在短短一個(gè)小時(shí)的時(shí)間里,我整個(gè)的數(shù)字生活就被摧毀了。首先是我的谷歌賬號(hào)被人接管����,隨后又被刪除;然后����,我的Twitter賬號(hào)被盜用,被用作一個(gè)發(fā)布種族主義和恐同性戀言論的平臺(tái)�;最糟糕的是,我的Apple ID也被侵入��,黑客用它遠(yuǎn)程清除我的iPhone�、iPad和MacBook中的所有數(shù)據(jù)。
從很多方面來(lái)說(shuō)�,這全都是我的錯(cuò)。我的各種賬號(hào)之間存在一個(gè)“菊花鏈”���,黑客一旦侵入我的亞馬遜賬號(hào)��,那么就能盜用Apple ID����,而這又意味著他們可以盜用我的Gmail賬號(hào)��,接著又能盜用Twitter賬號(hào)����。如果我曾為我的谷歌賬號(hào)使用雙重認(rèn)證,那么所有這一切可能都不會(huì)發(fā)生����,因?yàn)樗麄兊淖罱K目標(biāo)是接管我的Twitter賬號(hào),然后造成嚴(yán)重的破壞����。
如果我曾定期備份自己MacBook中的數(shù)據(jù),那么也就不必?fù)?dān)心會(huì)丟失一年多的照片�����,其中包括我女兒誕生至今的所有照片����;又或是那些我在其他地方?jīng)]有存儲(chǔ)的文件和電子郵件。
這些安全失誤都是我的錯(cuò)���,我對(duì)此感到深深的遺憾�。
但發(fā)生在我身上的事情暴露出了多個(gè)客戶服務(wù)系統(tǒng)中生死攸關(guān)的安全漏洞��,主要是蘋果和亞馬遜系統(tǒng)中的漏洞。蘋果的技術(shù)支持為黑客提供了進(jìn)入我iCloud賬號(hào)的入口�����,亞馬遜的技術(shù)支持則賦予了他們看到一些信息的能力——部分的信用卡賬號(hào)——蘋果過(guò)去常常會(huì)發(fā)布這種信息���。簡(jiǎn)而言之�����,亞馬遜認(rèn)為不夠重要的那四個(gè)數(shù)字不會(huì)在網(wǎng)上顯示�����,而這些數(shù)字正是蘋果認(rèn)為足夠安全而不用進(jìn)行身份驗(yàn)證的數(shù)字���。
這種聯(lián)系的斷裂暴露出了數(shù)據(jù)管理政策與整體科技行業(yè)隔離的缺陷,表明隨著我們進(jìn)入云計(jì)算和互聯(lián)設(shè)備的時(shí)代�,一場(chǎng)噩夢(mèng)即將來(lái)臨。
這不光是我自己一個(gè)人的問(wèn)題����。自8月3日黑客攻破我的賬號(hào)以來(lái),我就一直從其他用戶那里聽(tīng)說(shuō)�,他們的賬號(hào)也以同樣的方式被盜用��,其中至少有一個(gè)人是被同一個(gè)黑客團(tuán)體侵入的��。
此外�����,如果你的電腦不是已經(jīng)連接云服務(wù)的設(shè)備,那么也將在不久以后連接上���,因?yàn)樘O果正努力致力于讓全部用戶都使用iCloud�,谷歌的整個(gè)操作系統(tǒng)都基于云服務(wù)��,而微軟Windows 8是最以云服務(wù)為中心的操作系統(tǒng)�����,這個(gè)系統(tǒng)將在未來(lái)一年時(shí)間里以數(shù)千萬(wàn)的數(shù)量級(jí)登陸電腦桌面�。我的經(jīng)驗(yàn)讓我相信,基于云的系統(tǒng)需要在根本上有所不同的安全措施�����?���;诿艽a的安全機(jī)制——這種機(jī)制是能被攻破和被重新設(shè)定的——在云計(jì)算的時(shí)代里已經(jīng)不再足夠��。
我在上周五下午5點(diǎn)左右認(rèn)識(shí)到事情不對(duì)�,當(dāng)時(shí)我在跟女兒玩���,突然我的iPhone自己關(guān)機(jī)了���。我正在等電話,所以接上了電源����。然后,手機(jī)重啟到了設(shè)置屏幕��,這令人感到煩惱���,但那時(shí)我還沒(méi)有感到擔(dān)心��,只是假設(shè)那是一個(gè)軟件故障�。而且����,我的手機(jī)每天晚上都會(huì)自動(dòng)備份��。我只覺(jué)得這令人感到討厭���,但沒(méi)想更多。我輸入自己的iCloud賬號(hào)來(lái)試圖恢復(fù)����,但卻未被接受;又試了一次以后���,我感到氣惱,但還是沒(méi)有提高警覺(jué)�。我把手機(jī)連到電腦上,試圖從備份位置恢復(fù)設(shè)置——在不久以前我剛剛這樣做過(guò)����。當(dāng)我打開(kāi)自己的筆記本時(shí),一條iCal信息彈了出來(lái)�����,告訴我說(shuō)我的Gmail賬號(hào)信息是錯(cuò)誤的����。然后�����,顯示屏就變灰了���,要求我輸入四位數(shù)的PIN密碼。
而我沒(méi)有四位數(shù)的PIN密碼����。
到這個(gè)時(shí)候,我知道有些事情不對(duì)了�����,而且是非常不對(duì)�。被黑客侵入的想法第一次出現(xiàn)在我的腦海中。我不是太肯定發(fā)生了什么事情�����,因此我拔掉了路由器和線纜調(diào)制解調(diào)器���,關(guān)掉了我們用作娛樂(lè)中心的Mac Mini���,拿起我妻子的手機(jī)��,打給蘋果技術(shù)支持服務(wù)AppleCare���,跟一名客戶服務(wù)代表嘮叨了一個(gè)半小時(shí)。
這并非當(dāng)天蘋果客服員工所收到的第一個(gè)有關(guān)我的賬號(hào)的電話��。事實(shí)上��,我后來(lái)發(fā)現(xiàn)在我自己打電話的半個(gè)多小時(shí)以前也曾有電話打過(guò)去��,但蘋果代表并未告訴我有關(guān)第一個(gè)電話的事情����,雖然我花費(fèi)了90分鐘的時(shí)間來(lái)打電話給他們��。蘋果的客戶代表也從來(lái)都沒(méi)有主動(dòng)告訴我有關(guān)第一個(gè)電話的事情����,直到我問(wèn)了以后才告訴我這個(gè)信息。我之所以能知道第一個(gè)電話�����,是因?yàn)橐幻诳透嬖V我說(shuō)他打了那個(gè)電話�����。
據(jù)蘋果的技術(shù)支持記錄顯示,在當(dāng)天下午4:33��,曾有人以我的身份打電話給AppleCare�����。蘋果稱��,打電話的人說(shuō)他不能登入自己的電子郵件賬號(hào)——當(dāng)然��,那是我的電子郵件賬號(hào)��。
作為回應(yīng)���,蘋果給了他一個(gè)臨時(shí)密碼��,雖然打電話的人沒(méi)能回答我以前設(shè)定的安全問(wèn)題��,黑客僅僅提供了兩條信息�,而這兩條信息是任何擁有互聯(lián)網(wǎng)連接和手機(jī)的人都能找到的�。
在下午4:50,一條密碼重設(shè)信息進(jìn)入了我的收件箱。我并不真正使用這個(gè)電子郵件賬號(hào)��,幾乎從來(lái)不會(huì)查收郵件�。但即使我收到了,可能也不會(huì)注意到這條信息�����,因?yàn)楹诳婉R上就把這條信息刪除到了垃圾郵件信箱中��。然后��,他們就能根據(jù)郵件中的鏈接永久性地重新設(shè)定我的AppleID密碼���。
在下午4:52��,一封Gmail密碼恢復(fù)電子郵件進(jìn)入了我的收件箱�。兩分鐘以后�����,另一封郵件抵達(dá)�����,同時(shí)我Gmail賬號(hào)密碼已被更改��。
在下午5:02����,他們重新設(shè)定了我的Twitter賬號(hào)密碼。在下午5點(diǎn)����,他們使用iCloud的“Find My”工具遠(yuǎn)程清除了我iPhone中存儲(chǔ)的數(shù)據(jù)。在5:01����,他們遠(yuǎn)程控制清除了我iPad中的數(shù)據(jù)。在5:05�����,又遠(yuǎn)程刪除了我MacBook中的數(shù)據(jù)����;大約在同時(shí),刪除了我的谷歌賬號(hào)���。在5:10�����,我打電話給AppleCare�。在5:12,黑客向我的Twitter賬號(hào)發(fā)布了一條消息�,夸耀自己侵入了我的賬號(hào)。
在清除我MacBook的數(shù)據(jù)和刪除我的谷歌賬號(hào)以后�����,他們現(xiàn)在不僅有能力控制我的賬號(hào)�,而且還有能力阻止我拿回登入信息。令人瘋狂的是�����,我不理解也永遠(yuǎn)不會(huì)理解的問(wèn)題是����,那些被刪除的信息只不過(guò)是附帶損害。我MacBook中的數(shù)據(jù)——包括我家人的那些不能替代的照片����,我女兒生命中第一年的照片����,以及那些曾在我的生命中出現(xiàn)過(guò)的那些親戚們的照片——并非黑客的目標(biāo)�,我Gmail賬號(hào)中8年的信息也并非目標(biāo)����;真正的目標(biāo)是我的Twitter賬號(hào)。我MacBook中的數(shù)據(jù)被刪除�,只是為了阻止我拿回登錄信息。
我花了一個(gè)半小時(shí)來(lái)跟AppleCare的客服人員交涉�,之所以花費(fèi)了這么多時(shí)間的原因之一是我沒(méi)能回答出安全問(wèn)題。這看起來(lái)是一個(gè)好理由���。在這一個(gè)半小時(shí)中發(fā)生的事情很可能是這樣的:蘋果的客服代表說(shuō):“赫爾曼先生����,我……”
“等一下�����,你叫我什么�����?”
“赫爾曼先生�����?”
“我的名字是霍南?����!?/P>
蘋果的客服代表一直都在查問(wèn)錯(cuò)誤賬號(hào)的問(wèn)題�。正因如此,我無(wú)法回答安全問(wèn)題���;也正因如此�,客服代表問(wèn)了另一套問(wèn)題��,稱其將可讓技術(shù)支持人員幫助我登入自己的賬號(hào)��,也就是一個(gè)賬單地址和我信用卡的最后四位數(shù)(當(dāng)然����,當(dāng)我提供這些信息時(shí),并沒(méi)有什么用處�����,因?yàn)榧夹g(shù)支持人員弄錯(cuò)了我的名字)�。
看起來(lái)情況是這樣子的��,那就是只需要一個(gè)賬單地址和信用卡的后四位數(shù)字就能讓任何人登入我的iCloud賬號(hào)。一旦提供這些信息以后��,蘋果就會(huì)發(fā)放一個(gè)臨時(shí)密碼��,然后這個(gè)密碼就可以讓黑客登陸我的iCloud賬號(hào)��。 |
.png){kind=small}
浙公網(wǎng)安備 33038102330897號(hào)