防不胜防苹果ID泄露谁之过
2018-11-20作者孙永杰
作者│孙永杰
日前,苹果手机用户ID泄露进而造成用户个人信息泄露和相关支付工具遭遇盗刷事件在业内引起了强烈反响。其争议的焦点在于到底是谁的过错,可谓公婆各有理。那么我们应如何看待此类事件,从中能够得到何种启示?
一场大范围的苹果手机用户Apple ID被盗风波近日席卷全国,背后针对中国苹果用户的黑色产业链也逐渐浮出水面,引起了业界对于手机安全的深思。
隐私泄露屡发生,原因何在?
其实不仅是苹果,全球知名互联网大企业泄露用户隐私的事件屡有发生。例如2018年10月8日,谷歌公司在一篇博客文章中宣布,将在未来10个月里永久关闭Google+的消费者版本。而关闭的原因是Google+的一个漏洞可以向开发者提供用户信息,这可能会导致50多万名Google+用户的个人数据被泄露。开发商可在未被用户知晓的情况下获得用户数据,包括姓名、电子邮件地址、职业、性别和年龄。
2018年3月17日,多家外媒同时报道称,Facebook有5000万用户信息数据遭到名为“剑桥分析”公司的获取及利用;9月29日,Facebook表示黑客窃取了公司的数字登录密码,使他们能够接管Facebook多达5000万的用户账户,目前还无法确认攻击者是否滥用了账户或窃取了私人信息。
从上述这两个典型的用户隐私泄露事件,我们不难看到造成用户隐私泄露的主要原因有两方面:一是提供服务的互联网企业自身存在漏洞,二是第三方黑客恶意入侵。
对于前者,笔者认为企业如果发现漏洞因为主观原因产生,并且刻意隐瞒而不及时修补,最终给了黑客以可乘之机,那么企业理应承担主要责任。这也提醒相关企业,应不断提高自身的防范意识,定期检查企业提供相关服务的软硬件系统是否存在漏洞,做到及时发现、及时弥补,将其可能给用户带来的风险降到最低。对于后者,所谓“魔高一尺,道高一丈”,确实有防不胜防之势,不过还是像前者,如果相关企业能够加强自查,降低被黑客入侵的风险还是有可能的,但让企业做到彻底杜绝并不现实。
需要说明的是,尽管个人信息泄露由黑客所为,但在中国还存在另外一种用户隐私泄露的途径,那就是某些企业或个人拿用户的隐私去换取利益。据了解,在信息安全行业,目前的数据泄露事件,只有30%来自于黑客,另外大头的70%竟然来自于企业的“内鬼”,并由此形成了所谓的黑色产业链。
不要小看此类黑色产业链,相关调查数据显示,目前我国从事类似黑色产业链的人数已超过160万,其年产值已近千亿元。据统计,仅在2016年—2017年,我国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成每月915亿元的经济损失。
归根结底,泄露之责在于“人”
隐私泄露说到底还是人的问题。这就需要相关企业在人员监管方面加大力度,政府相关部门也应加大对此类信息泄露的惩戒。
提到人,作为个人隐私泄露受害者的用户,更应具备安全防范的意识,毕竟这与自身的利益密切相关,如果自己都不在意,一味将希望寄托在他人身上,岂不是一种对自己的不负责任。
具体到此次苹果用户的ID泄露,其实苹果官方早就在其网站公布了诸多防范措施。例如设置密码,越复杂越好;启用Touch ID指纹识别;开启“查找我的iPhone”功能;开启双重认证等。
以双重认证为例,这是为Apple ID提供的一层额外的安全保护,旨在确保只有用户可以访问自己的账户,即使其他人知道密码也是如此。有了双重认证,用户只能通过自己信任的设备(如iPhone、iPad或Mac)才能访问自己的账户。首次登录一部新设备时,用户需要提供两种信息:用户的密码和自动显示在用户受信任设备上的六位验证码。输入验证码后,用户即确认自己信任这部新设备。进行双重认证之后,即便用户的Apple ID密码泄露也不会出现重大损失。从这个认证看,用户被入侵的难度确实增加了很多,相应的信息遭窃取和泄露的几率也大大降低了。
综上所述,我们认为,此次苹果用户ID泄露事件责任的分清固然重要,但更重要和有价值的是,我们应该意识到信息和隐私保护不仅需要相关企业,更需要政府相关部门,甚至于我们每个用户都重视和高度参与,才能在与黑客和黑产的窃取信息及隐私的博弈中,做到“魔高一尺,道高一丈”。