科技專欄
 

從 iCloud 遭入侵,百位好萊塢 A 咖女星裸照外流事件,學到的五件事

2014-09-02

 

iCloud 遭入侵,驚爆百位好萊塢A咖女星裸照外流!包含奧斯卡影后珍妮佛勞倫斯(Jennifer Lawrence)

昨日爆發史上最大藝人裸照外洩事件,包含奧斯卡影后珍妮佛勞倫斯(Jennifer Lawrence)在內因遭駭客盜取帳號,多達60張艷照火速流傳,甚至登上當日google熱門搜索第一名。正在流傳的照片從有穿衣服對著鏡子自拍到不堪入目的都有。受害者還包括了愛莉安娜·格蘭德(Ariana Grande),凱特·阿普頓(Kate Upton)和維多利亞·嘉絲蒂(Victoria Justice)。

提醒好奇的網友們,很顯而易見地,現在如果點入「明星裸照」連結或打開電子郵件附加檔案都會是個「非常」糟糕的主意,因為不法份子馬上就會利用這個大好的機會。

這些照片首先出現在惡名昭彰的4chan圖片討論區,作者聲稱還有更多的照片,甚或是影片資料。這些都偷自iCloud帳號,而且價高者得。當然,這些照片的發布也造成許多假照片的出現,但出現這許多照片的事實(某些已經被受害者的經紀人所證實)帶給所有使用iCloud而想保持隱私的人一個不舒服的問題…我的雲端儲存安全嗎?

大規模的Apple iCloud被駭並不大可能,即使是原發帖者也並非如此聲稱。只有某些明星的資料被竊讓這件事看來很具針對性。這是如何發生的?

1 –被駭者都用弱密碼:所有受影響的明星都因為容易被猜到的弱密碼而被駭。駭客只要找出來就可以登入。

*編註:演出”復仇者聯盟”之”綠巨人浩克”一角的馬克魯法洛推特被駭後,駭客留言表示:「我要睡了,希望你能取回密碼,你的帳號被入侵,因為密碼設定太蠢了。」

英國媒體取得被敘利亞反對派攔截的敘利亞總統三千多封電子郵件,其中包括他和妻子的私密對話,還有他向伊朗請益的證據。還意外地發現總統大人下載不少的遊戲和電影,被看光的原因是敘利亞總統信箱密碼竟是在歷年帳密被盜事件中都匯入榜的超虛弱密碼「12345」。

2 –受害者未啟用iCloud的雙向認證:如果攻擊者知道受害者iCloud的電子郵件地址,假設受害者沒有啟用iCloud的雙向身份認證,攻擊者就可能透過「忘記密碼」功能進行密碼重置。如果沒有雙向身份認證,密碼重置會採用傳統的「安全問題」作法,因明星多數個資可從網路取得,包括寵物名稱等等,大幅提升帳號被駭的可能性。

 *編註:過去的名人被駭/病毒事件中,因為密碼提示問題而被入侵帳號的名人:歐巴馬、小甜甜布蘭妮, 莎瑪.海耶克、莎拉裴林,請看相關文章

延伸閱讀:密碼提示問題如何設定才不會被猜中?其實答案很簡單:答非所問

粉絲建議:

「你母親的姓氏?」我覺得還不錯啊…但我設定的答案是…"卡好"。

「我寵物的名字?」我都寫我老婆英文名字。

3 – 攻擊者侵入另一較弱安全性或密碼的關連帳號,也許是用來接收iCloud密碼重置郵件的網頁郵件帳號。

4 – 密碼重複使用。太多人都喜歡在多個服務都使用相同的密碼。因為最近有太多人都受到大型資料外洩事件的影響,所以只要使用被竊認證資訊服務即可。網路上銷售這些的服務越來越多,但同時被竊資料的價格也因為供過於求的關係而開始下跌。所以如果受害者在iCloud使用跟已經被駭或外洩帳號相同的密碼,那iCloud之門等於已經被打開。

5 – 網路釣魚。這是老招了,但仍然有效。針對性釣魚郵件發送給許多明星,引誘她們輸入自己的iCloud認證資訊到假的登入畫面,這樣的效果跟進行更複雜的駭客攻擊一樣的好。

我們可以從這裡學到的五件事 

如果任何網路服務提供你加強安全性的選項,那就加以啟用。即使你覺得啟用雙向身份認證可能會造成你在登入時的些許不便,我敢說如果你數位生活的核心服務被駭將會造成更大的不便。

切勿重複使用密碼。在多個網站使用相同的密碼並不是個好主意,所以盡量在每個網站上都使用唯一的密碼,更好的是使用密碼管理程式,為你提供只需記住單一密碼的便利,卻又做到每個服務都有唯一密碼的安全性。

至於安全或密碼重置問題,要考慮到問題的答案是否真的安全。安全指的是你是唯一知道問題答案的人。可以的話就選擇自己建立的問題,但如果你只能選擇使用制式的標準問題,如「第一所學校」或「第一隻寵物」,記得答案並不一定要是真的,只要是你可以記住的東西就行了。

刪除並不一定真的代表刪除,就跟其中一些受害者所發現的一樣。要熟悉你所使用的網路服務,看看是否有備份或陰影複製(shadow copy),以及它們如何進行管理。在這次的案例中,似乎有些受害者認為從自己的手機刪除照片就可以了,她們或許忘了Apple的照片串流。

噢,還有一件事,不要再自拍裸照了。

@原文出處:Naked celebrities revealed by “iCloud hack”

文/趨勢科技同意提供/轉貼自雲端運作與網路安全趨勢部落格

http://blog.trendmicro.com.tw/?p=9499


回上一頁  回首頁  TOP

台灣展翅協會(原終止童妓協會) ECPAT Taiwan
104 台北巿中山區民權東路二段26號4樓之5
4F.-5, No.26, Sec. 2, Minquan E. Rd., Zhongshan Dist., Taipei City 104, Taiwan (R.O.C.)
劃撥帳號:17927432 
TEL:02-2562-1233 FAX:02-2562-1277 E-mail: ecpattw[at]ecpat.org.tw
版權所有:2007 ECPAT TAIWAN All Rights Reserved

下載專區網路安全資料庫科技專欄新聞發佈 活動快訊