雲裡的裸照

20140913A 20140913B

最近兩星期全城鬧哄哄的話題,除了真普選無望以外,相信最多人關注的,是一眾荷里活影星包括Jennifer Lawrence和名模Kate Upton等,放在iCloud上的私密裸照和影片,懷疑被黑客入侵戶口而遭外洩,該黑客(也有傳言是四人團隊)更向外聲稱,仍有不少眾星的親密短片還未對外界公開,想購買的只要付Bitcoins給他便成,猖狂得令人難以想像。相信這班名模影星們都把iPhone設定為「自動把照片上載至iCloud」,然後把手機裡的照片、短片刪除,以為這樣既能把照片和短片備份,又不怕手機遺失或被盜時,被「拾遺不報」的有心人公諸天下,放在雲端便萬無一失。20140913B - 複製

最初還以為蘋果的iCloud保安出了問題,因而被黑客透過驚人的漏洞,大規模地偷取資料。事發後數天,該黑客透露了入侵眾星iCloud的方法:原以為存在的驚人保安漏洞,卻只不過是老掉牙的「盲撞密碼」方法。黑客先找到某明星作為iCloud用戶名稱的電郵地址,然後利用了Find My iPhone可進行無限次輸入密碼,從A至Z逐一嘗試,直至輸入的是正確密碼,Find My iPhone被成功登入為止。由於iCloud的登入戶口電郵和密碼跟Find My iPhone使用的相同,在Find My iPhone處把密碼「撞開」後,便能同時登入iCloud,該明星儲存在iCloud裡的私密照片和短片,也因此而被偷去。

眾星的連環私密照片外洩,也跟他們把連絡資料同時上載至iCloud有關。據了解,其中少部份的影星,被黑客成功入侵他們的iCloud以後,除了私密照片和短片,還把他們儲存在iCloud裡的連絡資料(Contacts)也一併盜取。這些連絡資料,正是明星們社交網絡的連結所在,黑客便能從這少部份影星的「雲中」,拿到大量其他明星的電郵地址,再透過上述的「盲撞密碼」方法,最終拿到超過八十位影星名模的iCloud戶口。

無論鏡頭前如何出眾,明星也只不過是普通人。這次的私密照片外洩事件,正好給大家看看,縱然是荷里活明星,也跟大部份的人一樣,對個人私隱保安毫不重視,「請君入甕」的往往是自己。正如絕大部份的艷照、短片外洩事件一樣,問題並不在使用的系統和軟件出現當中,而是對保護自己私隱的認知,過於掉以輕心。以這次事件為例,這班巨星以習慣用作通訊的電郵地址,同時用作iCloud的帳戶名稱,便等同為黑客打開放便之門:只要略為打聽一下,要知道某位明星的通訊電郵地址,其實不難,要知道普通手機用戶,你和我的通訊電郵地址就更加容易。大家以慣用的電郵地址,在互聯網上申請不同的服務和帳戶,網上銀行、淘寶、Facebook、Instagram、LINE、PayPal、iCloud等等,其實等同把能打開各個網上帳戶的一半鑰匙,送給黑客:只要不把給別人放進連絡資料裡的電郵地址作為帳戶名稱,「盲撞密碼」這一步便行不通,黑客縱想也入侵不來。

第二件因疏忽而令自己「入甕」的事,也是另一件老生常談的事:使用了容易被破解的密碼。去年七月才剛在本專欄跟大家分享過,如何設定難以被「撞開」的密碼(詳見《密碼法則》,刊於明周第2329期):不用使用字典能找到的字、以符號取代某些數字或英文字母(例如以“$”代替“S”、“@”代替“a”等)、以只有自己才知道的資料來架構密碼(例如以某中學同學暱稱+公司地址裡的街道名稱+某同事的門牌號碼等),把以上各種方法混合起來使用,組合出來的密碼,既無人知曉、無從得知,縱然以超級電腦來「盲撞密碼」也需最少數年時間,才能把正確密碼「撞」出來,又怎會像這班荷里活明星一樣,什麼都被看個透?

最後一個疏忽,又是老生常談:沒有設定「雙向認證」(2-step Verifications)。這個被視為「保險栓」的雙向認證,縱使黑客把用作帳戶名稱的電郵地址和正確密碼偷到手,沒有用戶的手機去接收認證短訊,無論是Gmail還是iCloud,黑客們還是無法成功登入其中,用戶還會因為忽然收到認證短訊,因而得知帳戶可能正被入侵,便可立即把密碼改掉,這些個人私隱外洩的事件,便不會發生。

使用不同的電郵地址作通訊和申請各種帳戶、不要告訴任何人你用來申請帳號的電郵地址、設立難以被破解的密碼、啟用雙向認證,只消這三步已能完全保障自己的網上個人帳戶和私隱,為何這些跟「從家中外出要關窗鎖門」一樣的common sense,絕大部份的人還是忽略不做,真的令人難以理解。希望這次的荷里活明星艷照外洩事件,除了令大家再次找「朋友」來「分享友誼」以外,也反思一下,自己會不會因一時疏忽,變成下一個陳冠希?

Leave a Reply

Your email address will not be published. Required fields are marked *