防不勝防蘋果ID泄露誰之過

作者│孫永杰

日前，蘋果手機(jī)用戶ID泄露進(jìn)而造成用戶個人信息泄露和相關(guān)支付工具遭遇盜刷事件在業(yè)內(nèi)引起了強(qiáng)烈反響。其爭議的焦點(diǎn)在于到底是誰的過錯，可謂公婆各有理。那么我們應(yīng)如何看待此類事件，從中能夠得到何種啟示？

一場大范圍的蘋果手機(jī)用戶Apple ID被盜風(fēng)波近日席卷全國，背后針對中國蘋果用戶的黑色產(chǎn)業(yè)鏈也逐漸浮出水面，引起了業(yè)界對于手機(jī)安全的深思。

隱私泄露屢發(fā)生，原因何在？

其實(shí)不僅是蘋果，全球知名互聯(lián)網(wǎng)大企業(yè)泄露用戶隱私的事件屢有發(fā)生。例如2018年10月8日，谷歌公司在一篇博客文章中宣布，將在未來10個月里永久關(guān)閉Google+的消費(fèi)者版本。而關(guān)閉的原因是Google+的一個漏洞可以向開發(fā)者提供用戶信息，這可能會導(dǎo)致50多萬名Google+用戶的個人數(shù)據(jù)被泄露。開發(fā)商可在未被用戶知曉的情況下獲得用戶數(shù)據(jù)，包括姓名、電子郵件地址、職業(yè)、性別和年齡。

2018年3月17日，多家外媒同時報道稱，F(xiàn)acebook有5000萬用戶信息數(shù)據(jù)遭到名為“劍橋分析”公司的獲取及利用；9月29日，F(xiàn)acebook表示黑客竊取了公司的數(shù)字登錄密碼，使他們能夠接管Facebook多達(dá)5000萬的用戶賬戶，目前還無法確認(rèn)攻擊者是否濫用了賬戶或竊取了私人信息。

從上述這兩個典型的用戶隱私泄露事件，我們不難看到造成用戶隱私泄露的主要原因有兩方面：一是提供服務(wù)的互聯(lián)網(wǎng)企業(yè)自身存在漏洞，二是第三方黑客惡意入侵。

對于前者，筆者認(rèn)為企業(yè)如果發(fā)現(xiàn)漏洞因?yàn)橹饔^原因產(chǎn)生，并且刻意隱瞞而不及時修補(bǔ)，最終給了黑客以可乘之機(jī)，那么企業(yè)理應(yīng)承擔(dān)主要責(zé)任。這也提醒相關(guān)企業(yè)，應(yīng)不斷提高自身的防范意識，定期檢查企業(yè)提供相關(guān)服務(wù)的軟硬件系統(tǒng)是否存在漏洞，做到及時發(fā)現(xiàn)、及時彌補(bǔ)，將其可能給用戶帶來的風(fēng)險降到最低。對于后者，所謂“魔高一尺，道高一丈”，確實(shí)有防不勝防之勢，不過還是像前者，如果相關(guān)企業(yè)能夠加強(qiáng)自查，降低被黑客入侵的風(fēng)險還是有可能的，但讓企業(yè)做到徹底杜絕并不現(xiàn)實(shí)。

需要說明的是，盡管個人信息泄露由黑客所為，但在中國還存在另外一種用戶隱私泄露的途徑，那就是某些企業(yè)或個人拿用戶的隱私去換取利益。據(jù)了解，在信息安全行業(yè)，目前的數(shù)據(jù)泄露事件，只有30%來自于黑客，另外大頭的70%竟然來自于企業(yè)的“內(nèi)鬼”，并由此形成了所謂的黑色產(chǎn)業(yè)鏈。

不要小看此類黑色產(chǎn)業(yè)鏈，相關(guān)調(diào)查數(shù)據(jù)顯示，目前我國從事類似黑色產(chǎn)業(yè)鏈的人數(shù)已超過160萬，其年產(chǎn)值已近千億元。據(jù)統(tǒng)計，僅在2016年—2017年，我國有6.88億網(wǎng)民因垃圾短信、詐騙信息、個人信息泄露等造成每月915億元的經(jīng)濟(jì)損失。

歸根結(jié)底，泄露之責(zé)在于“人”

隱私泄露說到底還是人的問題。這就需要相關(guān)企業(yè)在人員監(jiān)管方面加大力度，政府相關(guān)部門也應(yīng)加大對此類信息泄露的懲戒。

提到人，作為個人隱私泄露受害者的用戶，更應(yīng)具備安全防范的意識，畢竟這與自身的利益密切相關(guān)，如果自己都不在意，一味將希望寄托在他人身上，豈不是一種對自己的不負(fù)責(zé)任。

具體到此次蘋果用戶的ID泄露，其實(shí)蘋果官方早就在其網(wǎng)站公布了諸多防范措施。例如設(shè)置密碼，越復(fù)雜越好；啟用Touch ID指紋識別；開啟“查找我的iPhone”功能；開啟雙重認(rèn)證等。

以雙重認(rèn)證為例，這是為Apple ID提供的一層額外的安全保護(hù)，旨在確保只有用戶可以訪問自己的賬戶，即使其他人知道密碼也是如此。有了雙重認(rèn)證，用戶只能通過自己信任的設(shè)備（如iPhone、iPad或Mac）才能訪問自己的賬戶。首次登錄一部新設(shè)備時，用戶需要提供兩種信息：用戶的密碼和自動顯示在用戶受信任設(shè)備上的六位驗(yàn)證碼。輸入驗(yàn)證碼后，用戶即確認(rèn)自己信任這部新設(shè)備。進(jìn)行雙重認(rèn)證之后，即便用戶的Apple ID密碼泄露也不會出現(xiàn)重大損失。從這個認(rèn)證看，用戶被入侵的難度確實(shí)增加了很多，相應(yīng)的信息遭竊取和泄露的幾率也大大降低了。

綜上所述，我們認(rèn)為，此次蘋果用戶ID泄露事件責(zé)任的分清固然重要，但更重要和有價值的是，我們應(yīng)該意識到信息和隱私保護(hù)不僅需要相關(guān)企業(yè)，更需要政府相關(guān)部門，甚至于我們每個用戶都重視和高度參與，才能在與黑客和黑產(chǎn)的竊取信息及隱私的博弈中，做到“魔高一尺，道高一丈”。