迈特·霍南的在线生活被黑客摧毁(腾讯科技配图)
腾讯科技讯(童云)北京时间8月8日消息,《连线》杂志近日刊载署名为迈特·霍南(Mat Honan)的文章称,他的数字生活在短短一个小时中就被摧毁了,其谷歌(微博)账号、Twitter账号和Apple ID全被盗用,黑客藉此远程清除了他iPhone、iPad和MacBook中的所有数据。文章指出,事情暴露出了多个客户服务系统中生死攸关的安全漏洞,主要是苹果和亚马逊系统中的漏洞。
以下是这篇文章的概要内容:
在短短一个小时的时间里,我整个的数字生活就被摧毁了。首先是我的谷歌账号被人接管,随后又被删除;然后,我的Twitter账号被盗用,被用作一个发布种族主义和恐同性恋言论的平台;最糟糕的是,我的Apple ID也被侵入,黑客用它远程清除我的iPhone、iPad和MacBook中的所有数据。
从很多方面来说,这全都是我的错。我的各种账号之间存在一个“菊花链”,黑客一旦侵入我的亚马逊账号,那么就能盗用Apple ID,而这又意味着他们可以盗用我的Gmail账号,接着又能盗用Twitter账号。如果我曾为我的谷歌账号使用双重认证,那么所有这一切可能都不会发生,因为他们的最终目标是接管我的Twitter账号,然后造成严重的破坏。
如果我曾定期备份自己MacBook中的数据,那么也就不必担心会丢失一年多的照片,其中包括我女儿诞生至今的所有照片;又或是那些我在其他地方没有存储的文件和电子邮件。
这些安全失误都是我的错,我对此感到深深的遗憾。
但发生在我身上的事情暴露出了多个客户服务系统中生死攸关的安全漏洞,主要是苹果和亚马逊系统中的漏洞。苹果的技术支持为黑客提供了进入我iCloud账号的入口,亚马逊的技术支持则赋予了他们看到一些信息的能力——部分的信用卡账号——苹果过去常常会发布这种信息。简而言之,亚马逊认为不够重要的那四个数字不会在网上显示,而这些数字正是苹果认为足够安全而不用进行身份验证的数字。
这种联系的断裂暴露出了数据管理政策与整体科技行业隔离的缺陷,表明随着我们进入云计算和互联设备的时代,一场噩梦即将来临。
这不光是我自己一个人的问题。自8月3日黑客攻破我的账号以来,我就一直从其他用户那里听说,他们的账号也以同样的方式被盗用,其中至少有一个人是被同一个黑客团体侵入的。
此外,如果你的电脑不是已经连接云服务的设备,那么也将在不久以后连接上,因为苹果正努力致力于让全部用户都使用iCloud,谷歌的整个操作系统都基于云服务,而微软Windows 8是最以云服务为中心的操作系统,这个系统将在未来一年时间里以数千万的数量级登陆电脑桌面。我的经验让我相信,基于云的系统需要在根本上有所不同的安全措施。基于密码的安全机制——这种机制是能被攻破和被重新设定的——在云计算的时代里已经不再足够。
我在上周五下午5点左右认识到事情不对,当时我在跟女儿玩,突然我的iPhone自己关机了。我正在等电话,所以接上了电源。然后,手机重启到了设置屏幕,这令人感到烦恼,但那时我还没有感到担心,只是假设那是一个软件故障。而且,我的手机每天晚上都会自动备份。我只觉得这令人感到讨厌,但没想更多。我输入自己的iCloud账号来试图恢复,但却未被接受;又试了一次以后,我感到气恼,但还是没有提高警觉。我把手机连到电脑上,试图从备份位置恢复设置——在不久以前我刚刚这样做过。当我打开自己的笔记本时,一条iCal信息弹了出来,告诉我说我的Gmail账号信息是错误的。然后,显示屏就变灰了,要求我输入四位数的PIN密码。
而我没有四位数的PIN密码。
到这个时候,我知道有些事情不对了,而且是非常不对。被黑客侵入的想法第一次出现在我的脑海中。我不是太肯定发生了什么事情,因此我拔掉了路由器和线缆调制解调器,关掉了我们用作娱乐中心的Mac Mini,拿起我妻子的手机,打给苹果技术支持服务AppleCare,跟一名客户服务代表唠叨了一个半小时。
这并非当天苹果客服员工所收到的第一个有关我的账号的电话。事实上,我后来发现在我自己打电话的半个多小时以前也曾有电话打过去,但苹果代表并未告诉我有关第一个电话的事情,虽然我花费了90分钟的时间来打电话给他们。苹果的客户代表也从来都没有主动告诉我有关第一个电话的事情,直到我问了以后才告诉我这个信息。我之所以能知道第一个电话,是因为一名黑客告诉我说他打了那个电话。
据苹果的技术支持记录显示,在当天下午4:33,曾有人以我的身份打电话给AppleCare。苹果称,打电话的人说他不能登入自己的电子邮件账号——当然,那是我的电子邮件账号。
作为回应,苹果给了他一个临时密码,虽然打电话的人没能回答我以前设定的安全问题,黑客仅仅提供了两条信息,而这两条信息是任何拥有互联网连接和手机的人都能找到的。
在下午4:50,一条密码重设信息进入了我的收件箱。我并不真正使用这个电子邮件账号,几乎从来不会查收邮件。但即使我收到了,可能也不会注意到这条信息,因为黑客马上就把这条信息删除到了垃圾邮件信箱中。然后,他们就能根据邮件中的链接永久性地重新设定我的AppleID密码。
在下午4:52,一封Gmail密码恢复电子邮件进入了我的收件箱。两分钟以后,另一封邮件抵达,同时我Gmail账号密码已被更改。
在下午5:02,他们重新设定了我的Twitter账号密码。在下午5点,他们使用iCloud的“Find My”工具远程清除了我iPhone中存储的数据。在5:01,他们远程控制清除了我iPad中的数据。在5:05,又远程删除了我MacBook中的数据;大约在同时,删除了我的谷歌账号。在5:10,我打电话给AppleCare。在5:12,黑客向我的Twitter账号发布了一条消息,夸耀自己侵入了我的账号。
在清除我MacBook的数据和删除我的谷歌账号以后,他们现在不仅有能力控制我的账号,而且还有能力阻止我拿回登入信息。令人疯狂的是,我不理解也永远不会理解的问题是,那些被删除的信息只不过是附带损害。我MacBook中的数据——包括我家人的那些不能替代的照片,我女儿生命中第一年的照片,以及那些曾在我的生命中出现过的那些亲戚们的照片——并非黑客的目标,我Gmail账号中8年的信息也并非目标;真正的目标是我的Twitter账号。我MacBook中的数据被删除,只是为了阻止我拿回登录信息。
我花了一个半小时来跟AppleCare的客服人员交涉,之所以花费了这么多时间的原因之一是我没能回答出安全问题。这看起来是一个好理由。在这一个半小时中发生的事情很可能是这样的:苹果的客服代表说:“赫尔曼先生,我……”
“等一下,你叫我什么?”
“赫尔曼先生?”
“我的名字是霍南。”
苹果的客服代表一直都在查问错误账号的问题。正因如此,我无法回答安全问题;也正因如此,客服代表问了另一套问题,称其将可让技术支持人员帮助我登入自己的账号,也就是一个账单地址和我信用卡的最后四位数(当然,当我提供这些信息时,并没有什么用处,因为技术支持人员弄错了我的名字)。
看起来情况是这样子的,那就是只需要一个账单地址和信用卡的后四位数字就能让任何人登入我的iCloud账号。一旦提供这些信息以后,苹果就会发放一个临时密码,然后这个密码就可以让黑客登陆我的iCloud账号。
• 中国角型毛巾架行业运营态势与投资潜力研究报告(2018-2023)
• 中国直接挡轴市场深度研究及投资前景分析报告(2021-2023)
• 2018-2023年KTV专用触摸屏市场调研及发展前景分析报告
• 中国回流式高细度粉碎机市场深度调研与发展趋势预测报告(2018-2023)
• 2018-2023年中国原色瓦楞纸行业市场深度研究及发展策略预测报告
• 中国雪白深效精华液市场深度调研及战略研究报告(2018-2023)