你還敢用云盤嗎？

鐘佳德

今年9月初，有外國黑客疑利用蘋果公司的iCloud云盤系統漏洞，非法盜取了眾多全球當紅女星的裸照，繼而在網絡論壇發布，造成了影響廣泛的“好萊塢艷照門”。一時間，蘋果的云盤iCloud服務被推向了風口浪尖，其安全性也遭到了各界的質疑。

iCloud是蘋果公司所提供的云端服務，可免費儲存5GB的資料。其類似于國內的云盤存儲服務，正因為如此，這一事件在國內也引起了人們對云盤安全性的拷問。目前市場上比較出名的云盤有百度云盤、騰訊微云盤、快盤、360云盤等。據《2014年3月中國個人云存儲市場用戶數（網頁版）》數據顯示，國內個人云存儲用戶數（網頁版）已超過3.51億人。

隨著大數據時代的到來，云盤市場將會迎來更大的爆發。而“好萊塢艷照門”事件卻使云盤的安全性遭遇了大考驗。云盤的安全性也成了云盤用戶心頭的一根刺。

此次“好萊塢艷照門”對云盤行業帶來了哪些影響？云盤是否真的如服務商所保證的那么安全？云盤的未來又將何去何從？用戶該如何正確使用云盤？又該如何維護自身權益呢？為了解開眾多疑問，本期《消費電子》雜志記者將通過采訪云盤資深專業用戶、云盤產品服務提供商和相關方面的律師，從不同角度尋找答案。

云盤存在四大風險 不可完全避免

資深IT行業云盤用戶 李鐵軍

對于很多普通用戶來說，互聯網技術高深莫測。也正是由于普通用戶不懂技術，很難規避網絡的安全風險。因此，在很多人眼里網絡沒有安全性可言。那么，IT界的資深人士是如何規避安全風險的？對于云盤的安全性又有怎樣的看法？下面一起來聽聽資深IT行業反病毒專家李鐵軍怎么說。

選擇品牌云盤很重要

李鐵軍作為資深IT人士，一直都有使用云盤，而且同時使用了多家品牌的云盤，比如快盤、百度、谷歌、微云等。

面對如此多品牌的云盤，也許很多人會迷茫，該怎么選擇呢？李鐵軍表示：“肯定首選技術實力強的開發團隊開發的云盤產品。比如谷歌、微軟、騰訊、百度等巨頭開發的比較好。因為他們有專業的團隊做安全維護。如果是新創業的團隊，他們可能不具備那么強大的資源，開發出的云盤可能沒有那么可靠。”另外，李鐵軍告訴記者，選擇品牌的時候要注重其信譽度，對于一些曾經發生過信息泄露問題的云盤品牌要慎重選擇。

選對品牌后，在使用云盤的時候如果善于利用云盤的優勢功能，將會增強云盤的使用體驗。李鐵軍稱：“云盤的使用體驗主要還是和應用功能有關。如果是存儲的話，可能百度的空間比較大；如果是同步辦公，協同分享，快盤會比較好一點；如果是順手保存郵件附件，那么谷歌云盤會比較好用。用戶可以根據自身的需求選擇合適的云盤。”

云盤存在四大風險 且不可完全避免

蘋果iCloud艷照門鬧得滿城風雨，云盤的安全性也受到了前所未有的關注與質疑。那么云盤的安全性究竟怎樣呢？李鐵軍從專業的角度進行了分析：云盤的風險往往存在于客戶端，云盤存在的風險是不可能完全避免的。

李鐵軍介紹說：“云盤的風險主要來自于四個方面，一是云服務商自身出現了問題，出現了一些安全漏洞或者其它方面的漏洞，導致了數據泄露。目前國內云盤服務商也有一些白帽子黑客發現了一些漏洞，但是服務商及時發現了，還沒有造成用戶大的損失與影響。也有可能某一天出現新的漏洞，如果服務商沒有及時處理，可能會對用戶資料造成比較大的影響，這種情況是不可能完全排除的。二是數據在客戶端處理的時候，用戶自己使用不當，造成數據丟失或者泄露的情況，這完全是不可控的。云服務最弱的點就是用戶端，因為有些用戶的安全意識不高。三是數據從客戶端傳到服務端的時候被黑客攻擊。四是用戶掉到wifi的陷阱里，訪問的時候密碼被直接盜取，或者被攻擊者通過嗅探等方式截獲登陸信息。”

wifi釣魚攻擊可竊取云盤資料

云盤的風險是不可杜絕的，尤其是在其受到攻擊的時候。據李鐵軍反映，wifi釣魚攻擊可竊取云盤資料。他說：“其實國內的所有云盤如果通過wifi釣魚的攻擊基本都是有可能竊取他們里面的資料。wifi的攻擊是非常嚴重的威脅。有安全意識的人都不會隨意連咖啡館、賓館的免費wifi。”

李鐵軍稱他們曾經做過wifi攻擊測試，能獲取到用戶的資料。他說：“數據從客戶端傳到服務端容易出問題，而且這個問題很嚴重。我們在攻擊測試的時候就發現，如果在家里使用無線路由器上網，路由器的安全級別比較低的話，容易被攻克入侵，用戶登錄時密碼會被竊取。如果被攻擊者攻克入侵的時候剛好碰到你使用家里電腦進行云盤數據傳輸，這個時候云盤的賬號密碼信息就會被攻擊者捕獲。”

使用云盤的過程中存在很多不可控的風險因素，因此善于規避云盤的風險，避免損失就顯得尤其重要了。對此，李鐵軍給出了如下建議：“如果是機密文件，就絕對不能上傳到云盤上。只有那些機密度不高的，為了方便使用的資料才可以上傳到云盤上。如果是一些更重要的商業文件，可以對這些文件做一些簡單的加密。

李鐵軍還指出，使用云服務，密碼是非常關鍵的。因為密碼這塊是最薄弱的環節，也是丟失數據可能性最大的一個環節。用戶要有密碼管理的常識，掌握好一些密碼設計的方法，做到密碼是唯一性和不規則性。云盤的服務商如果提供了兩步驗證功能，用戶最好開通。如果在公共場合，最好不要隨意連接wifi，避免陷入釣魚wifi陷阱。

主流云盤很安全

未來云盤將走社交化的路線

360云盤產品規劃經理 劉航

對于好萊塢艷照泄露事件帶來的安全拷問，主流云盤服務商又會有怎樣的看法和回應呢？國內知名的360云盤的產品規劃經理劉航為我們作了解答。

主流云盤安全有保障

好萊塢艷照事件確實讓很多國內用戶對云盤的安全性產生了質疑。那么國內的云盤安全性究竟怎樣呢？劉航表示：“目前沒有一家云盤敢說自己是絕對的安全，作為云計算服務商，出現好萊塢艷照門的事情是比較遺憾的，但這是一個學習的過程，平臺會變得越來越可靠。目前來說，國內排名前幾名的主流云盤安全性都比較有保障。但是一些小眾的云盤，就難說了。聽說小公司做的云盤，公司的工作人員可以隨便讀取存放在其中的資料，限制性不強。大型的公司在這方面要求比較嚴格，有明確的規定，比如明確規定了哪些資料不能讀取，涉及到隱私的資料保護得較好。”

采訪中，劉航深入介紹了目前云盤采用的安全技術。他說，好萊塢艷照事件警醒了國內云盤對于漏洞的修復，提升了漏洞修復的重要性。目前，各大云盤廠商也采取了多種安全手段保護用戶資料安全。比如360云盤，在登錄時，連續輸錯密碼達到一定的次數，會封禁IP24小時。如果用戶使用異常IP登錄會在第一時間收到提醒。而在數據傳輸過程中，數據是加密的，可以防止黑客進行嗅探攻擊。存儲方面的數據也進行了加密存儲，而且數據中心多份拷貝，多中心備份，在一定周期內會做周期性數據的完整性校驗。

wifi攻擊并未直接攻破云盤服務器

現在，網絡攻擊是用戶資料的重大威脅。其中wifi攻擊是一個比較普遍的攻擊方式，而且其破環性也大。當記者問及為何有人說wifi攻擊可以竊取云盤資料時，劉航表示：“黑客進行wifi攻擊，并不是直接攻破云盤服務器的密碼，而是通過獲取用戶沒有進行加密的郵箱帳號密碼，從而獲得登錄云盤的合法權限，進而非法進入用戶云盤竊取資料。”他說，這個問題目前沒有辦法完全防范，只能是用戶提升安全意識，提升黑客攻擊難度。例如使用https的情況下，會提高攻擊的門檻。

那么，用戶應該如何保障自己資料的安全？劉航給出了專業的建議，他說：“有幾個方法可以避免，一是設置復雜的密碼，涉及錢財切身利益的密碼要設置復雜一些。二是每個網站密碼最好不要相同，且不要和郵箱密碼相同，不要隨便在別人的電腦登錄，更不要選擇記住密碼。三是安裝殺毒軟件。”

未來云盤將走社交化的路線

目前云盤大都采用免費存儲、免費分享的模式。對于云盤未來的發展方向，劉航表示：“未來云盤的分享模式會有較大改變，因為未來國家對版權控制比較嚴格，以后云盤的分享在符合國家規定的情況下，將會轉化為點對點的傳播方式，走社交化的路線。比如我們的360云盤的朋友圈，正在嘗試點對點的社交化路線，但最終產品形態還需要我們進一步的用戶研究與摸索。不過云盤的架構、安全體系等則不會有太大的變化。”

看好云盤的未來 安全又便捷的認證方式是主攻方向

中國金融認證中心（CFCA）技術專家 李闖

李闖曾就好萊塢艷照事件發表了一篇文章《從iCloud泄露事件看云時代的身份安全》，在文中他表示，好萊塢艷照門事件是迄今影響最大的“云隱私”泄露事件，意義重大，是對云時代隱私安全的一聲警鐘，也是值得深入研究的身份安全案例。

對于目前國內云盤采用的用戶名和密碼驗證機制，李闖并不贊成這種安全驗證機制。他表示：“用戶名和密碼幾乎不具有安全性可言，只是可以防止惡意攻擊。而且目前很多云盤服務商都不是專業的安全解決方案商，可能在這方面比較不擅長。目前市場上也確實沒有認證方便而安全性又好的安全解決方案。因此在相當長的一段時間內，云盤的安全性依舊會比較薄弱。”

當記者問及怎樣的驗證方式會讓云盤更加安全時，李闖稱：“如果使用類似U盾這樣的身份認證登錄云盤，就能很好地解決安全的問題，但是這樣會造成用戶使用上很大的不方便。未來，把安全的身份認證變得更加安全又便捷，是服務商急需研究的方向。”

同時，李闖在其專欄文章《從iCloud泄露事件看云時代的身份安全》也闡述了未來可能普及的身份認證方案。他認為未來主要有3種身份認證方案會得到普及，分別是改進的生物識別技術、組合環境的方式和可穿戴式智能設備。

對于云盤未來的前景，李闖在采訪的最后表示比較看好云盤的未來。他說：“我個人比較看好云盤的未來。當然服務商和用戶各方面都需要重視起來。關鍵是云盤廠商要將云盤安全性作為重要的事情考慮，在系統設計和服務過程中處處考慮安全機制，未來，完全可以提供既便于認證又安全的云盤服務。”

個人信息泄露案件取證難

提高自我保護意識是關鍵

大成律師事務所 專職律師 蘇治吟

公民個人信息泄露或者被侵害會對公民個人的生活造成不可估量的影響。如何在信息被泄露的時候用法律維護自己的合法權益就顯得尤其重要。對此，大成律師事務所的專職律師蘇治吟從法律的角度作了詳細的分析。

對于蘋果iCloud艷照泄露事件，蘇律師也十分關注，她告訴記者：“這一事件說明了蘋果的iCloud服務還是存在一定的漏洞。至于蘋果公司在法律上應承擔怎樣的責任？從法律角度看，主要是看蘋果公司在用戶信息泄露過程中有沒有存在過失。如果有證據證明蘋果公司事先知道iCloud服務存在漏洞或者說在黑客攻擊的時候，蘋果公司沒有采取防范的措施。這樣就可以推定蘋果公司存在過失。蘋果公司就應承擔與過錯相對應的責任。但是目前沒有足夠的證據證明蘋果公司存在過失。需要后期的一些相應的報道和證據才能進一步對這個事情作界定。”

當記者問及如果在中國發生類似信息泄露事件，中國用戶應該如何維護自己的權益時，蘇律師表示：“雖然目前中國在法律層面上，有相當完整的相關法律規定保護民眾的個人信息隱私權，比如憲法、民法通則、侵權責任法、刑法修正案、消費者權益保護法等都從不同方面做了具體的規定。但是，在執行過程中，很多個人在信息被侵犯的時候，很難認定是誰侵害了他們的個人隱私息，在調查取證的時候，證據的收集，相對主體的鎖定，往往是比較困難的。”

“即使法律定得再詳細，也不可能觸及到方方面面，所以個人信息的保護，個人一定要提高自我保護意識。”蘇律師說，用戶應慎重考慮是否有必要在網絡區域公開自己的個人信息。為保障個人的隱私及安全，個人在網站的帳號資料應用密碼保護。個人切勿泄漏密碼及帳號資料給其他人，否則責任只能自己承擔。

如果發生個人信息泄露的情形，蘇律師表示：“首先修改登錄網站個人信息頁的密碼；報警并備案，為將來維權保存侵權事實記錄；對于個人或企業重大信息泄露時，及時咨詢專業律師，了解具體侵權形式應承擔的相應法律責任，再進一步搜集和完備證據；同時可以向法院提起訴訟，要求停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。”

蘇律師在采訪的最后意味深長地說：“要使個人信息在互聯網上得到充分的保護，需要包括提高網絡用戶個人信息安全意識、制定網絡信息（隱私）保護法、實行行業自律、采取技術保護措施等多方面的共同努力。”