蘋果官方回應iCloud遭入侵事件：將與用戶一起調查

最新 03-11

我們負責報道杭州的未來，關注一個唄

3月8日，蘋果中國針對蘋果官方技術顧問非法竊取用戶個人信息和資料並敲詐勒索事件進行了官方回應。

在回應中，蘋果提到——

「我們非常尊重顧客賦予我們的信任，將保護個人隱私和信息安全託付給Apple。捍衛用戶的隱私是我們系統設計的出發點，任何一個AppleCare技術顧問均無法訪問顧客的密碼、電子郵件內容和照片等。我們將與這名顧客一起對該事件進行調查，並確保Apple員工和承包商團隊遵守我們在顧客聯絡方面設定的嚴格標準。」

3月5日晚，微博名為「美國往事1999」的用戶在微博發表了長文，譴責蘋果技術顧問利用職務之便，侵入其個人iCloud，拷貝信息資料，並威脅其的一系列經過。

由於iCloud服務剛剛遷移到雲上貴州，這一事件引發了不少蘋果用戶擔憂，認為iCloud的隱私保護存在漏洞。

那麼，服務遷移後的iCloud賬戶到底安不安全？

GIF

iCloud賬戶遭侵入

技術顧問出言威脅

「美國往事1999」第一次發文是在3月5日，他在新浪微博發表《蘋果官方技術顧問非法竊取用戶個人信息和資料並敲詐勒索的事件》一文，詳細記錄了事情經過。

據該文描述，2月28日，他致電蘋果400客服電話，諮詢iCloud服務遷移一事，其間與蘋果技術顧問發生口角。隨後，這名技術顧問用手機給「美國往事1999」打電話，稱其侵入了用戶的iCloud，拷貝了他的個人信息和資料，並往用戶的三個郵箱各發了一封郵件，還聲稱要將這些資料公開。「美國往事1999"查看了iCloud賬戶以及郵箱，確認iCloud遭到入侵。

「美國往事1999」收到的恐嚇信（圖片來源：當事人微博）

在「美國往事1999」公開的與這名「技術顧問"的電話通話錄音中可以聽到，此人自稱蘋果公司高級技術顧問，未透露姓名，稱自己「利用職務之便」獲取用戶資料，並進行威脅與恐嚇，語氣和態度極其惡劣。

「美國往事1999」向蘋果公司多次投訴，蘋果公司在3月6日告訴他，涉事員工已被開除，但拒絕透露具體信息。

「美國往事1999」不滿意處理結果，報了警。

GIF

蘋果說絕無可能

建議開通雙重認證

事發日是2月28日，正是iCloud服務由美國遷移到雲上貴州的第一天。「美國往事1999"的這篇文章發出以後，引發不少蘋果用戶擔憂，認為一個技術顧問就可以侵入用戶賬戶，說明iCloud的安全隱私出現了很大的問題。iCloud上存儲了用戶的通訊錄、照片、文檔、信用卡等重要信息，一旦泄露，後果不堪設想。

矽谷小報記者聯繫「美國往事1999"，請他詳細介紹事情經過，但一直沒有得到回復。

隨後，記者撥打蘋果官網的400客服電話，諮詢哪些人可以看到用戶的iCloud賬戶。幾位客服人員都非常肯定地答覆說，除了用戶本人，其他任何人都不能訪問用戶的iCloud賬戶，包括蘋果公司技術顧問。

據客服介紹，Apple ID有兩種認證方法——

第一種是二級認證，即密碼+安全提示問題，這是早期比較常見的認證方法，安全性相對較低；

第二種是雙重認證，即密碼+動態驗證碼，這種認證的安全性更高，因為用戶必須輸入受信用的iPhone上收到的驗證碼，才能登錄Apple ID。

值得注意的是，雖然iOS升級到10.3以後，蘋果默認所有新註冊的Apple ID開啟雙重認證，但在此之前註冊的Apple ID，有不少仍然沒有開啟雙重認證，建議這些用戶儘快開啟，登錄Apple ID就可以設置。

GIF

用戶不滿意蘋果公司解釋

蘋果承認可以訪問用戶賬戶

按照蘋果公司的解釋，理論上，所有登錄Apple ID或iCloud的行為，用戶的iPhone都會收到驗證碼，除非用戶主動透露，否則外人是無法用驗證碼登錄的。

但這一解釋顯然不能讓蘋果用戶完全滿意。有用戶搬出雲上貴州的服務條款，裡面有這樣的表述：「您理解並同意，蘋果公司和雲上貴州有權訪問您在此服務中存儲的所有數據，包括根據適用法律向對方和在彼此之間共享、交換和披露所有用戶數據（包括內容）的權利。」

在iCloud數據遷移中，用戶的iCloud密鑰也將被一同轉移。通過iCloud密鑰，就能訪問用戶iCloud賬戶的大部分內容。

這就意味著，在一定條件下，蘋果公司或者雲上貴州有權訪問用戶的iCloud賬戶。但記者昨天致電詢問，什麼情況下以及哪些管理人員擁有查看用戶賬戶的許可權，蘋果公司沒有給予正面回答。

據《金融時報》報道，包括中國在內的世界各國執法部門，都向蘋果公司提出了合法的數據獲取需求，並獲得了蘋果公司的同意。

在3月7日給「美國往事1999」的最新答覆中，蘋果公司也承認，蘋果公司有權訪問用戶賬戶，但這項許可權並未向一般員工開放，包括涉事技術顧問。

而到了3月8日下午，蘋果方面通過新浪科技發出聲明——

我們非常尊重顧客賦予我們的信任，將保護個人隱私和信息安全託付給 Apple。捍衛用戶的隱私是我們系統設計的出發點，任何一個 Apple Care 技術顧問均無法訪問顧客的密碼、電子郵件內容和照片等。我們將與這名顧客一起對該事件進行調查，並確保 Apple 員工和承包商團隊遵守我們在顧客聯絡方面設定的嚴格標準。

這則聲明正面回應稱，任何一個蘋果技術顧問都是無法訪問顧客隱私內容的。

GIF

網路安全專家說

常用郵箱別做Apple ID

金山網路安全專家李鐵軍表示，如果技術顧問沒有許可權進入賬戶，不排除通過用戶的公開信息繞開安全認證訪問的可能性，因為用戶沒有開啟雙重認證，那麼只要掌握用戶的登錄郵箱、姓名、手機號碼、序列號等信息，就可以通過一種叫做「撞庫"的攻擊手段進入賬戶。而技術顧問要獲取這些信息非常簡單，因為用戶每次致電蘋果客服，都需要提供這些信息。

2016年9月，好萊塢發生的多位女星不雅照事件，就是黑客通過撞庫攻破她們的iCloud賬戶造成的。2016年又發生了同類事件，4000多萬個賬戶被盜。

李鐵軍還透露，近年來圍繞蘋果興起的一條灰色產業鏈也要警惕，通常是蘋果內部員工或外包人員串通不法分子，通過職務便利，非法盜取用戶信息，用於販賣，或者將偷來的蘋果設備解鎖，便於銷贓。

2017年7月，浙江公安偵破一起此類案件，抓獲「內鬼」19人，這些人靠倒賣用戶信息謀利，每月獲利高達數百萬元。

浙江海浩律師事務所律師李慧則表示，如果「美國往事1999」所述屬實，這名技術顧問的行為已經涉嫌觸犯《刑法》，檢察機關可以立案調查。

李鐵軍建議，設置Apple ID時，盡量不要選擇常用的郵箱和密碼，因為這樣容易被黑客攻破。盡量與常用郵箱分隔開來，不要交叉，這樣，即使一個郵箱被攻破，也不至於被人「連根拔起」。