今夏最后一个周末以网络重磅新闻画上句号:匿名黑客(可能是一个人)窃取并在网上发布了大量好莱坞女星的艳照,其中包括珍妮佛•劳伦斯等在内的众多一线明星。此类泄露事件绝不是什么新鲜事,只是这次闹出的动静实在太大。从一开始,人们就猜测这些照片是从明星的苹果iCloud帐户中被直接窃取的。有这种可能吗?如果是真的,应该怎样做才防范资料被窃呢?
可能的泄露场景
目前,还没有确切的证据能证明这些照片是通过iCloud被盗的。苹果公司和FBI目前正在调查这一事件,我们期待他们的调查结果。但有一些事实表明,由于下面多种因素,擅自入侵用户帐户是完全可能的。第一,iCloud平台实施中有一个小缺陷,即允许无限次尝试输入帐户密码。一般情况下,用户重试登录的次数超过3-5次后,网络服务会锁定帐户。iCloud的普通网页界面上的确实施了此机制,但”查找我的iPhone”界面上却没有此限制。通过这一缺陷,黑客得以实施”暴力攻击法”,即系统化地尝试各种常用密码,直到最终黑客放弃,或者成功破解密码为止。为了通过暴力攻击法来访问iCloud帐户,黑客可能使用了开源应用,这种应用在流行的编程网站GitHub上出现过,时间就在艳照事件发生之前。
第二,许多明星可能忽视了强密码策略,而选择使用的是非常基本的密码。黑客只要在使用”暴力攻击法”时,将排名前500位的最常用密码挨个试个遍,就能收获颇丰。
第三,这也是最重要的一点。苹果公司实施的双重身份验证正是针对此类攻击的防御机制。毫无疑问,受害用户未采用这种本不该忽视的有效防御工具。
根据一些报告,这一缺陷立即得到了修复,截止到本周一,利用”暴力攻击法”已经不可能再攻破iCloud帐户。但是,没法保证没有别的漏洞存在。
此外,犯罪分子们攻击iCloud和”查找我的iPhone”的苹果用户也不是头一次了。今年夏天,有一些国家就遇到过一波网络勒索事件,受害用户突然发现自己的iPhone/iPad被锁定,其中犯罪分子们利用的正是苹果的防盗功能”查找我的iPhone”。锁定屏幕上会显示消息,要求用户支付赎金才能解锁设备。
保护自身及数据
这次的艳照事件证明,如今我们的隐私越来越脆弱,不管是明星还是普通人都不例外。基于云的文件存储设备因其无可争议的服务便利性,长期以来一直受到网络用户的追捧,但如今多少受一些严重风险的影响而有所降温。
例如,许多用户会在云上存储护照和其他敏感文件(或敏感照片)的扫描件,但云服务中时不时出现的漏洞会危及这些个人数据的安全性。人们谈到云安全性时,往往会忽视端点的安全性。如果设备受到具有间谍功能的恶意软件攻击,则设备本身可能就是泄露根源,它会将云内的文件和凭证向犯罪分子拱手相送。
为了避免因私人数据通过计算机、移动设备或云服务外泄而可能导致的问题,卡巴斯基实验室高级安全研究员Christian Funk给出了以下建议措施:
1.使用高强度密码,且为每个帐户设置独一无二的密码。
2.使用端点安全软件来保护设备,因为每个设备都是云存储的一道关卡。
3.尽可能启用并使用双重身份验证服务。
4.对信息分类,确定哪些应该存储在云中,哪些不应该。大多数敏感数据(不管是与您个人相关还是与职业生涯相关的信息)切不可放在云中。
5.移动设备很容易丢失或被盗,所以确保设备本身不存储任何敏感数据。如果没法做到这一点,请确保对设备实施相应的加密。
6.如果打算存储敏感数据(包括照片和视频),请仔细检查设备,确定设备不会自动将数据上传到云。
7.共享个人数据或允许他人获取您的照片之前,请确保对方设备也足够安全,以防您的私人数据不慎外泄。
#卡巴斯基专家就如何避免#iCloud照片#泄露给出的七大建议