艳照经iCloud泄露？大数据时代弊端显露

　　这周才刚刚开始，苹果就有事情头疼了。一个 iCloud 的漏洞可能导致了名人私照的泄露。至于泄露的原因，苹果正在调查当中。苹果发言人今日发表了简短声明称：“我们非常重视用户的隐私。我们正在积极调查这件事情。”

　　这些照片据说是从名人的 iCloud 账号泄露出来的，有些是真的，有些是伪造的，涉及包括女演员詹妮弗·劳伦斯在内的几位名人。他们的私照一经泄露就迅速在社交网络流传开来。

　　根据行内人解释，周一，一个 Python 脚本出现在 GitHub 上，允许恶意黑客“蛮力”攻击 iCloud 账号的密码。蛮力攻击包括利用恶意脚本反复猜测密码，试图找到正确的密码。

　　漏洞似乎源自“查找我的 iPhone”，一个叫 iBrute 的程序能够让攻击者反复猜测密码（即使猜错了也不会有警告，也不会被锁账号），一旦密码最终被匹配，攻击者就可以利用它来自由地访问其他的 iCloud 功能，包括 iCloud 照片。

　　任何一位 Twitter 用户都可以从 GitHub 使用 iBrute 来访问自己的账号。现在测试该工具发现，已经不能反复猜密码，尝试 5 次错误的密码后被锁定，说明苹果已经封锁了这一工具所利用的漏洞。

　　iBrute 的作者 Hackapp 告诉记者，这个漏洞普遍存在于许多认证接口的服务，只需一点基本的黑客知识就能发现这些漏洞。当被问及本周的名人私照泄露是否跟该工具有关时，他承认说，任何人都可以利用这个工具。不过目前还没有显示出证据证明与他的工具有关。

　　Hackapp 还向记者指出了 iCloud 钥匙链存在的其他安全问题。　　

　　事情听起来很恐怖。不过目前还没有证据能证明这些名人私照是从 iCloud 泄露出去的，尽管最初泄露这些照片的黑客声称他们是从 iCloud 检索的照片。

　　安全专家表示，如果 iCloud 账号已启用“双重身份验证”的功能，黑客入侵和窃取照片的企图可能会被阻止。

　　苹果尚未表示黑客如何攻击了这些 iCloud 账号，但安全公司 FireEye 的安全研究人员表示，迄今为止出现的证据表明，这似乎是一个相当简单的攻击，也就是说，要阻止这些攻击也是轻而易举的事情，并能采取额外的步骤来确保用户的 iCloud 账号安全。

　　事实上，苹果推出的“双重身份验证”是可以阻止得了这次的攻击的。可惜的是，苹果在推出的时候没有加大宣传该功能的使用，只有那些关注苹果新闻的用户才知道有这样的安全功能。

　　启用“双重身份验证”时，用户在输入常规的数字密码后，还需要输入发送到他们其他苹果设备的验证码，类似于我们现在使用网银所需的手机验证码。这个额外的步骤使得黑客即使知道密码也很难攻击得了目标账号。

　　这样的事情已经不是第一次发生，也不会是最后一次。早在 2005 年，美国社交名媛帕丽斯·希尔顿的 Sidekick 智能手机曾遭黑客攻击，导致云存储的图片和文字信息被泄露。

　　往近的说，今年 5 月份，多个国家的苹果用户发现自己开启了 iCloud 的设备被黑客远程劫持，并被勒索 50 美元，作为解锁设备的赎金。这些被劫持的设备也基本上没有开启“双重身份验证”的功能。

　　再次提醒那些在自己的 iCloud 账号存储了敏感数据的用户，最好开启“双重身份验证”，虽然验证步骤多了一步，但至少安全一些。望互相转告。

　　还不知道如何开启的用户可以参考以下步骤：

　　1.打开 appleid.apple.com

　　2.选择“管理您的 Apple ID”

　　3.输入您的 Apple ID 和密码，点击“登录”

　　4. 在左栏中选择“密码”和“安全性”

　　5. 这时需要先回答您预设的安全问题才能继续

　　6. 接下来就开始设置两步验证，其中需要提供您的手机号码