女星艳照外泄再引苹果疑云 黑客利用iCloud漏洞
美国时间上周日晚上开始,多位好莱坞女星的私密照开始在网上疯传,其中包括奥斯卡影后詹妮弗·劳伦斯、“蜘蛛女”克里斯汀·邓斯特等人。据美国新闻网站Buz-zFeed消息,这些照片最早在美国的4chan论坛被公开,发布者声称是黑客攻击了苹果的iCloud账号后获取的。已有女星证实了照片的真实性。
女星私密照外泄,立刻在网络上引起对苹果iCloud安全性的讨论。截至发稿,苹果尚未就此事给出官方回应。不过,业内专家认为,就目前事态来看,女星个人账号被盗的可能性大于iCloud服务器被攻击的可能性。
奥斯卡影后中招:“这和贩卖赃物一样可耻”
“这是对隐私的公然侵犯。我们已联系有关部门,并将起诉任何发布詹妮弗·劳伦斯被窃照片的人。”美国当地时间周日晚间7点31分,詹妮弗·劳伦斯的发言人给BuzzFeed网站发来声明,证实了照片的真实性。不过,一个多小时以后,同样被曝艳照的美国新生代女歌手爱莉安娜·格兰德则通过发言人否认了其照片的真实性。
这些女星的照片最早被公开在“4chan”论坛上,随后在网络上疯传,黑客声称拥有60张詹妮弗·劳伦斯的裸照,从已曝光的一些照片可看出劳伦斯是在不同的地方自拍或被拍。这些照片以“饥饿游戏”为题,从更衣室半裸自拍到浴室艳照,包含了劳伦斯各个时期的照片。据悉,劳伦斯1990年出生于美国,2008年凭借《燃烧的平原》获威尼斯电影节最佳新人奖,2010年凭借《冬天的骨头》提名第83届奥斯卡奖最佳女主角,2012年担任《饥饿游戏》系列电影女主角,同年凭《乌云背后的幸福线》获得第85届奥斯卡奖最佳女主角,成为奥斯卡首位“90后”影后。目前,劳伦斯的发言人已证实,网上流传的裸照是“真的”,有关部门已经联络他们。除谴责黑客此举严重侵犯女星隐私权外,该发言人还强调发布上述裸照的人将面临法律惩罚,称从女性手机盗取照片上网发布,和贩卖赃物一样可耻。
“艳照门”非首次:曾有黑客因此获刑10年
这个匿名黑客还公布了一份被黑女星的名单,除了詹妮弗·劳伦斯外,同时曝光的还有《超市特工》、《24小时》演员伊冯娜·斯特拉霍夫斯基,《温暖的尸体》女主角泰莉莎·帕尔墨,《绝命毒师》中扮演小粉女友的克里斯汀·邓斯特,《唐顿庄园》三小姐扮演者杰西卡·布朗·芬德利、歌手蕾哈娜等数十位当红女星,暂有101张裸照于网上流传。
除了当红明星维多利亚·嘉斯蒂等几位声称“所曝照片系伪造”外,大部分明星尚未对此事发表评论。不过,被发布裸照的美国女星玛丽·伊丽莎白·温斯蒂第一时间在推特上发文表示,自己的裸照都是多年前和丈夫在自家私密空间拍摄的,“你们现在看这些照片,不觉得难为情吗?我很久以前已删除这些照片,可以想象黑客花费了多大的努力才得到这些照片。”
据悉,这并非好莱坞女星艳照第一次遭泄露。2012年,女星斯嘉丽·约翰逊、杰西卡·阿尔芭、赛琳娜戈·梅兹,米拉·库妮丝等50多名女星的手机信息被黑客入侵,曝光在网上,堪称“好莱坞艳照门事件”。后FBI着手调查,抓获黑客克里斯多弗·钱尼,最终该黑客被判刑10年。
[苹果用户不安]
信息放在“云端”到底安不安全?
据BuzzFeed网站报道,黑客利用了苹果iCloud的漏洞黑了名人的手机,为了赚取比特币,他把照片发在网上。苹果暂未对此事发表声明。由于现在依然不清楚黑客是通过何种途径入侵iCloud的,理论上这种入侵也可能会出现在任何一个使用iCloud云服务的苹果用户身上。
随着云技术的普及,以后网络攻击的对象是否会从PC或移动终端转向云服务器?
上个月,在美国拉斯维加斯举行的世界黑帽大会(Black Hat)上,系统安全学者韦韬曾向记者分析过云技术的利弊。他认为,如今很多企业IT的安防能力还不如云服务商的能力,从这个角度看,云技术的普及并不是坏事。但另一方面,云服务商的能力还不是高级攻击者的对手,以前攻击者还需逐一攻击目标,如今只要攻击云服务商一家,而且,对使用云服务的用户来说,“他打别人的时候顺手把你给烧了”,可能是最倒霉的了。
参加过世界黑帽大会的杭州安恒信息技术有限公司副总裁刘志乐在接受晨报记者采访时表示,云端是巨大的风险点,这是业内的共识,“信息都放到云端,隐私对全世界都是透明的。”
“现在有些云端的应用做到了加密,有的还没做到。”刘志乐解释,云端加密,并不是说每上传一张照片、每同步一个联系人信息到云端都需要输密码,“用户是感知不到的,(云端加密)云商要做的是,给每个用户配‘钥匙’,并且要记住每个人的‘钥匙’,这对服务器性能要求很高。”虽然在技术上已经没有任何门槛,但高成本的运作依然阻挡了很多云商主动加密。
艳照从iCloud服务器流出?
既然云服务商已成“黑帽子”们的目标,那这次的好莱坞女星艳照门事件有没有可能是黑客通过攻击iCloud的服务器获得的?
刘志乐分析:“把整个iCloud 服务器全攻陷,从我个人角度来看,这个可能性不大。”他解释道,如果是全攻陷的话,应该不会只是现在的结果,所有苹果iCloud用户的所有资料,包括通讯录、照片墙、记事本等信息都可能被曝光。另一位不愿透露姓名的网络安全业内人士也表示,定向攻击某位明星的个人账号比攻击苹果iCloud服务器难度低多了。
“要定向攻击一个人的账号有很多办法,比如黑客可以设计一款明星喜欢用的应用,当然是恶意的,然后从后台收集他们的账号信息,进而攻击。”刘志乐分析,因为该事件涉及明星这个特殊身份,也不排除存在敲诈的可能性。
[专家安全警示]
一个密码走天下小心被“撞库”
此次艳照门事件起因的另一个可能性——“撞库”,也被不止一位专家提及。
所谓“撞库”,其实就是黑客通过收集网络上已泄露的用户名及密码信息,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码。“说白了,就是一个密码走天下,用户在不同网站使用同一套用户名和密码,相当于给自己配了把万能钥匙,一旦丢失后果不堪设想。”
今年2月,京东遭遇数据库泄露疑云,一张截图在网络流传,大都是后缀为“@qq.com”的邮箱账号及密码,说是京东的数据库泄露了,让大家赶紧把账户里的钱转出来。不过,京东官方回应称,“经过内部调查,网传截图中显示的账号经内部查询,被盗号的可能性较大。”京东还借此事件建议用户赶紧开启手机验证等安全设置。
类似京东遭遇的“撞库攻击”,还发生在苏州的一名男子身上。上月,该男子多个账户使用同一套用户名和密码,导致支付宝账户被黑客成功“撞库”,32万元存款被分批转走。
●个人如何防隐私泄露
1.使用云端本身没有隐私可言,即便你把所有终端及云端的照片一一删除,云服务器上还是会留下痕迹。所以,如果一定要用云服务的话,就不要拍私密照;实在要拍,也请不要露脸。2.不要一个密码走天下,给自己配“万能钥匙”最终倒霉的是自己。应注意把iCloud的密码与其他社交网络账号区分开来。
3.关闭照片共享功能。使用苹果手机的用户,进入“设置”→i-Cloud→照片→我的照片流,关闭;照片共享,关闭。
4.最近网上已出现以“好莱坞女星私密裸照全集”等为名的木马压缩包,切勿轻易下载此类文件,以免看艳照不成反被木马盗取自己照片。