苹果ID泄露疑云调查

早年的黑客，可能是为了恶作剧。但现在，漏洞早已经成为各个国家的核心战略资源。“就跟武器一样，在公开市场上都能卖上高价，根本不用去做黑客靠犯罪赚钱，更不会轻易用在民间。”白帽汇科技CEO赵武表示。

而如今，国内顶级的白帽(用黑客技术来维护网络关系公平正义的人员)年薪都是百万元以上，一些安全人员甚至达千万年薪。因为他们挖到一个漏洞价值数万美金，有的团队一年可以挖到数百个漏洞。

2017年在温哥华举办的全球顶级黑客大赛Pwn2Own，已经连续举办10年了，大赛的奖金就高达百万美金。现场高手如云，来自中国、美国、德国的11支战队，完成针对主流浏览器、操作系统、虚拟机、文档软件等攻破项目。

“漏洞是一次性的，你用来做黑客，公司很快修好了就没了。从投入产出比讲，撞库的成本最低，不用太多技术，而且屡试不爽。”赵武表示。

近些年，用户数据经常发生大规模泄露的事件。

2015年，网易的用户数据库遭泄露，影响数量总共近5亿条，泄露信息包括用户名、密码(MD5)、密码提示问题/答案(MD5)、注册IP、生日等。

2016年12月，京东一个12G的数据包开始在黑市流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。

今年8月，华住酒店集团的官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码约5亿条用户数据被泄露。

因为很少有用户在每个平台设置不同的密码，所以黑客会利用网络上已经泄露的大量的用户数据，去尝试登陆其他网站。

同时，贩卖已泄露数据、贩卖隐私的生意一直屡禁不绝。

2017年，公安部指挥破获一起特大盗贩公民信息案，共抓获犯罪嫌疑人96名，初步查获涉及物流、医疗、社交、银行等各类被盗公民个人信息达50亿条。

在黄杨看来，如今很多犯罪的黑客根本没用太多的技术，大部分是利用已经泄露的数据“撞库”成功。但这次苹果Apple ID被盗，撞库或者内鬼的可能性更大。

据了解，在信息安全行业，目前的数据泄露事件，有30%来自于黑客，有70%来自于内鬼。

由于黑客无名，所以绝大部分的黑客攻击事件，都是为了利益。

在此次苹果Apple ID被盗事件中，除了账号被泄，苹果手机的强制免密支付才是导致大量用户遭受财产损失的主因。

在QQ维权群里，苹果的强制免密支付将成为此次被盗的苹果手机用户维权的重点。

《今晚财讯》记者在苹果手机账户中发现，其内设的付款方式有支付宝、微信、银行卡、快捷支付等，而苹果账户在绑定支付宝或微信等支付方式时，必须选择免密支付。

而互联网上资金最好变现的渠道就是那些游戏充值或是道具，所以这次很多人的账户被盗后被用去买游戏装备，或者开通收费订阅。“收费订阅量越高，黑客拿的钱就越多。”赵武表示。

互踢皮球，谁之责?

尽管苹果公司10月11日回应称正在积极解决ID被盗问题，但上海、北京等地的苹果中国公司对被盗刷用户提出的退款申诉却表示无法操作。

一些苹果手机用户的支付宝也被盗刷。《今晚财讯》在询问支付宝所属的蚂蚁金服会如何处理时，蚂蚁金服市场公关部工作人员表示，这次主要是由于Apple ID被泄露导致的，如果账号泄露了，任何支付方式都有风险。

事实上，在此之前，安全领域曾多次发生过同类型案例。“就算最终黑客被抓，但往往没有任何一个人或公司会宣称对大量的受害者负责。”赵武表示。

根据我国《刑法》第287条(利用计算机盗窃公私财物)和第264条盗窃罪，盗窃公私财物，数额巨大或者有其他严重情节的处三年以上十年以下有期徒刑。

黑客一旦被抓，等待的是法律的制裁。但相关公司该如何负责呢?

2018年1月3日，英特尔芯片被发现共有两个漏洞，分别称为“崩溃”和“幽灵”。黑客可利用这两个漏洞读取设备内存，获得密码、密钥等敏感信息。而英特尔、ARM、AMD等CPU产品纷纷遭受影响。其中，英特尔CPU受影响最为严重，影响范围从酷睿一代到八代全部没能幸免。

事件发生后，英特尔、微软、谷歌、苹果、亚马逊、ARM等巨头一起联手，设法解决漏洞问题。

黄杨认为，安全领域的事情，往往必须多方联手才能共同解决。

而此次苹果手机Apple ID被盗事件中，至少在强制免密支付环节上，苹果公司就存在设计上的安全问题。

“苹果强制免密支付是为了方便，它选择了便利性而不是安全性。加入密码、二次身份认证或生物识别，都可以帮助用户极大地避免盗刷。”赵武表示，在受害者维权后，苹果公司可能会修改默认的强制免密支付。

对于普通的苹果手机用户而言，为了防止手机信息被盗，赵武认为主要有以下几种方法：

首先，就是尽量将支付的账号跟密码在各个平台都设置得不一样;其次，是把二次验证要打开，尽量关闭免密支付;第三，尽量不要去用免费的wifi，或者连一些公共wifi，不要使用公共充电线，不要去扫来路不明的二维码等。

(赵雪娇对本文亦有贡献)

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!