防不勝防蘋果ID泄露誰之過

作者│孫永杰

日前，蘋果手機用戶ID泄露進而造成用戶個人信息泄露和相關支付工具遭遇盜刷事件在業內引起了強烈反響。其爭議的焦點在于到底是誰的過錯，可謂公婆各有理。那么我們應如何看待此類事件，從中能夠得到何種啟示？

一場大范圍的蘋果手機用戶Apple ID被盜風波近日席卷全國，背后針對中國蘋果用戶的黑色產業鏈也逐漸浮出水面，引起了業界對于手機安全的深思。

隱私泄露屢發生，原因何在？

其實不僅是蘋果，全球知名互聯網大企業泄露用戶隱私的事件屢有發生。例如2018年10月8日，谷歌公司在一篇博客文章中宣布，將在未來10個月里永久關閉Google+的消費者版本。而關閉的原因是Google+的一個漏洞可以向開發者提供用戶信息，這可能會導致50多萬名Google+用戶的個人數據被泄露。開發商可在未被用戶知曉的情況下獲得用戶數據，包括姓名、電子郵件地址、職業、性別和年齡。

2018年3月17日，多家外媒同時報道稱，Facebook有5000萬用戶信息數據遭到名為“劍橋分析”公司的獲取及利用；9月29日，Facebook表示黑客竊取了公司的數字登錄密碼，使他們能夠接管Facebook多達5000萬的用戶賬戶，目前還無法確認攻擊者是否濫用了賬戶或竊取了私人信息。

從上述這兩個典型的用戶隱私泄露事件，我們不難看到造成用戶隱私泄露的主要原因有兩方面：一是提供服務的互聯網企業自身存在漏洞，二是第三方黑客惡意入侵。

對于前者，筆者認為企業如果發現漏洞因為主觀原因產生，并且刻意隱瞞而不及時修補，最終給了黑客以可乘之機，那么企業理應承擔主要責任。這也提醒相關企業，應不斷提高自身的防范意識，定期檢查企業提供相關服務的軟硬件系統是否存在漏洞，做到及時發現、及時彌補，將其可能給用戶帶來的風險降到最低。對于后者，所謂“魔高一尺，道高一丈”，確實有防不勝防之勢，不過還是像前者，如果相關企業能夠加強自查，降低被黑客入侵的風險還是有可能的，但讓企業做到徹底杜絕并不現實。

需要說明的是，盡管個人信息泄露由黑客所為，但在中國還存在另外一種用戶隱私泄露的途徑，那就是某些企業或個人拿用戶的隱私去換取利益。據了解，在信息安全行業，目前的數據泄露事件，只有30%來自于黑客，另外大頭的70%竟然來自于企業的“內鬼”，并由此形成了所謂的黑色產業鏈。

不要小看此類黑色產業鏈，相關調查數據顯示，目前我國從事類似黑色產業鏈的人數已超過160萬，其年產值已近千億元。據統計，僅在2016年—2017年，我國有6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成每月915億元的經濟損失。

歸根結底，泄露之責在于“人”

隱私泄露說到底還是人的問題。這就需要相關企業在人員監管方面加大力度，政府相關部門也應加大對此類信息泄露的懲戒。

提到人，作為個人隱私泄露受害者的用戶，更應具備安全防范的意識，畢竟這與自身的利益密切相關，如果自己都不在意，一味將希望寄托在他人身上，豈不是一種對自己的不負責任。

具體到此次蘋果用戶的ID泄露，其實蘋果官方早就在其網站公布了諸多防范措施。例如設置密碼，越復雜越好；啟用Touch ID指紋識別；開啟“查找我的iPhone”功能；開啟雙重認證等。

以雙重認證為例，這是為Apple ID提供的一層額外的安全保護，旨在確保只有用戶可以訪問自己的賬戶，即使其他人知道密碼也是如此。有了雙重認證，用戶只能通過自己信任的設備（如iPhone、iPad或Mac）才能訪問自己的賬戶。首次登錄一部新設備時，用戶需要提供兩種信息：用戶的密碼和自動顯示在用戶受信任設備上的六位驗證碼。輸入驗證碼后，用戶即確認自己信任這部新設備。進行雙重認證之后，即便用戶的Apple ID密碼泄露也不會出現重大損失。從這個認證看，用戶被入侵的難度確實增加了很多，相應的信息遭竊取和泄露的幾率也大大降低了。

綜上所述，我們認為，此次蘋果用戶ID泄露事件責任的分清固然重要，但更重要和有價值的是，我們應該意識到信息和隱私保護不僅需要相關企業，更需要政府相關部門，甚至于我們每個用戶都重視和高度參與，才能在與黑客和黑產的竊取信息及隱私的博弈中，做到“魔高一尺，道高一丈”。