好莱坞 “艳照门 ”事件爆发

没有计数的密码输入次数；没有加锁；没有通知提醒

你留意过iCloud的“照片流”设置吗？你的手机有可能正在你不知情的情况下把照片上传到云里。近期多名好莱坞女星的不雅照泄露，原因是黑客入侵了这些女星的iCloud账户，据报道，目前已经有300余张明星的不雅照和几段视频流出，FBI已经介入了此次调查。

这次的艳照门事件暴露出云服务存在的隐患。在9月10日，iPhone6上市前这个非常微妙的时间，这则消息引起热议，也引发了普通苹果用户的担忧。如何关闭iCloud“照片流”？怎么保证云服务中数据的安全？密码太多如何便捷管理？

艳照是怎么被泄露的？

据消息称，事件主要是因黑客利用iPhone的iCloud存储服务漏洞检索NSFW（Not Safe For Work缩写，意指不雅照）照片引发的，而这个漏洞允许名人手机被黑。

这些名人裸照首先出现在4chan论坛上，Reddit网站等随即转发。据新闻聚合网站Buzzfeed称，黑客利用iPhone的iCloud存储服务去检索NSFW照片，以便获取比特币。

众多名人成为受害目标，包括金·卡戴珊（Kim Kardashian）、蕾哈娜（Rihanna）、布丽·拉尔森（Brie Larson）、奥布里·普拉扎（Aubrey Plaza）、加布里埃尔·尤尼恩（Gabrielle Union）、希拉里·达夫（Hilary Duff）、克尔斯滕·邓斯特（Kirsten Dunst）、玛丽·凯特·奥尔森 (Mary-Kate Olsen)、赛琳娜·戈麦斯(Selena Gomez)以及凡妮莎·哈金斯(Vanessa Hudgens)等。

美国科技博客Mashable联系了受害女星劳伦斯的发言人，获得的回应如下：“这是对隐私的公然侵犯。我们已经联系相关部门，并将起诉任何发布珍妮佛·劳伦斯被窃照片的人。”

苹果回应：非系统漏洞

据BBC报道，苹果表示，黑客是针对这些女星账户密码进行入侵的，并且称没有任何证据表明这是由于系统漏洞引起的。苹果同时暗示，黑客可能是通过推导密码入侵到了受害人账户中。

这份声明是在这些艳照被发布在网络上后作出的。奥斯卡影后詹妮弗·劳伦斯已经确认其中的裸照是其本人。在发现苹果的iCloud可以无限次的尝试密码前，曾经有猜测照片的泄露是因为苹果的查找iPhone功能的漏洞，但苹果却表示并非如此。

苹果发言人称，客户的安全和隐私是非常重要的，苹果对明星账户照片的被盗表示非常愤怒，在得知消息后，立即安排了工程师对系统进行检查。发言人说，在经过40个小时的调查后，我们发现某些账户是通过用户名、密码等信息被入侵的，这种做法是网络上最普通的入侵方法。没有任何证据表明入侵是由于iCloud账户或者是查找iPhone功能的漏洞被入侵的。

据新浪科技消息，北京时间9月2日上午，美国联邦调查局(FBI)宣布，将对导致众多明星艳照泄露的iCloud被黑事件展开调查。不过，FBI并未披露将具体采取何种行动，查找艳照泄露的幕后黑手。

FBI表示，他们已经了解到这一问题，并将着手处理此事，但拒绝发表进一步评论。

据IT门户赛迪网消息，苹果刚刚修复了Find My iPhone软件中的一个重要漏洞，据说黑客可以利用这个安全漏洞攻破用户的iCloud账户。

这个漏洞被称为“iBrute”，存在于Find My iPhone软件的登录页面。在通常情况下，如果黑客利用穷举密码的方式来破解用户帐户，就会被拦截在网站外面，但是安全研究员Alexey Troshichev发现Find My iPhone软件的API允许用户无限次尝试不同的密码，黑客可以利用穷举密码的方式侵入其他用户的iCloud账户。

而美国科技博客The Next Web报道也认为，此次攻击可能与GitHub（全球最大的社交编程及代码托管网站）上的“iBrute”软件有关。

有趣的是，在GitHub上的一篇内容也显示，有用户发现了苹果Find My iPhone服务的一个漏洞。通过这一漏洞，黑客可以持续尝试密码，直到找到正确密码。可在好莱坞明星照片被泄漏后，这篇内容于周一进行了更新，其中显示：“乐趣结束。苹果刚刚进行了修复。”

不过，目前没有直接证据表明，iBrute被用于此次攻击。

iCould的其他安全问题

通过Twitter，有记者与这款工具的创造者Hackapp进行了交流，“他”表示这个bug常见于很多服务之中，它有很多授权接口，只要有一些基本的“嗅探和反转技术知识”的人，都可以轻松做出这样的脚本。当被问到今天的“名人艳照门”事件是否也使用了同样的技术时，Hackapp表示，“目前我没有证据，但我承认某些人可能使用这款工具。”

Hackapp还贴出了一个幻灯片，详细解释了这款工具，以及为什么要开发这款工具。此外，他们还识别出了iCould的其他安全问题。如下图所示：

目前尚不清楚这个漏洞会存在多久，实际上，如果黑客获得了用户的电子邮箱地址，那些简单、易猜的密码就能轻松被破解。目前还没有确凿的证据证明，那些名人艳照是通过iCould泄漏出去的，也可能是通过其他黑客攻击获取的。不过，根据最先发布这批照片的黑客宣称，他们就是从iCould上面得到的。

其实类似的攻击曾经发生过，之前有黑客就勒索过不少受害人，他们会利用Find My iPhone功能锁定用户手机，然后再向受害人索取一定金额的钱，才能恢复手机功能。苹果表示正在对此事进行调查。