iCloud、亚马逊云爆出严重安全漏洞

what-is-icloud

随着苹果产品席卷全球,苹果的iCloud也成了公共云计算的一块金子招牌,但是最近的一次个人信息入侵事件再次为云计算时代的个人信息安全敲响了警钟:公共云计算的安全性比我们想象得还要差!

不久前,连线杂志的记者Mat Honan遭黑客攻击,几乎丢失了所有信息。他的MacBook笔记本电脑,iPad和iPhone都与苹果的iCloud同步,黑客利用这一点将其三个设备上的所有数据同时清除,包括Honan为一岁的女儿拍摄的所有照片。

黑客还进入Honan的Gmail账户(随后也被清除),Twitter账户以及Gizimodo的Twitter官方账号,并在两个twitter账号上发布了一系列种族和同性恋言论。

通过与攻击黑客的对话,Honan了解了大量攻击的细节。黑客指出攻击得手的原因是iCloud和亚马逊云存在“让人吃惊”的安全漏洞。

正如苹果公司创始人沃兹尼亚克所预言的,完全基于云计算的未来将产生可怕的问题——当所有的东西都联网时,黑客将能访问一切。(过去是联网打印机传真机、未来是灯泡、监狱大门和核设施)

云计算需要双重认证

在使用个人云计算服务时,个人用户需要启用双重认证(例如Gmail账号中的手机动态密码),而不是依靠单一的密码来进入账号。

Google在这方面做得很好,当你在陌生电脑上使用Google服务时,你需要同时输入发送到手机上的动态密码。你还可以在智能手机上安装一个Google认证程序,能随时生成动态密码。当然,你也要确保你手机的安全,最好设置开机密码并安装远程找回和数据擦除程序。

在连线杂志记者Honan的案例中,黑客首先通过亚马逊云服务获得Honan的苹果账户,成功进入Gmail账户并从中获取了Twitter账号。如果Honan使用了Gmail的双重认证,黑客就不会得手——攻破Twitter账号并发布不法信息。

苹果需要有所作为

显然,在苹果为旗下云服务提供双重认证之前,使用iCloud是非常不安全的。目前,iCloud的唯一安全屏障就是密码。获取密码的方法也很简单:你只需要知道账户的邮件地址,然后打电话给苹果的技术支持,报上邮件地址和信用卡后四位数字。Honan用这个方法成功获得了连线杂志办公室多位同事的iCloud账户密码。

此外,消费者也不要使用iCloud的“Find My Mac”功能,丢失MacBook笔记本电脑的概率很小,而丢失手机的可能性很大,“Find My Mac”功能可以远程擦除MacBook上的数据,这反而降低了MacBook数据的安全性。

亚马逊也需要行动起来

黑客获得Honan亚马逊账户的方式简单到让人发指。黑客只需要知道目标账户的持有人姓名、电子邮件地址和收账地址,今天,网民的这些信息对于黑客来说简直唾手可得。

黑客进入Honan的亚马逊账户后,可以看到Honan全部信用卡的后四位数,其中一张是iCloud的注册信用卡。至此,黑客已经获得了获取Honan的iCloud账户的所有信息:邮件地址、收账地址、信用卡后四位数。

Honan在个人博客中不无讽刺地说道:信用卡的后四位数对于亚马逊来说如此无关紧要,可以明文显示,而对于苹果来说,却又是如此重要,可以作为安全认证的重要凭证。

虽然Honan的遭遇只是众多云安全事件中的一个个案,但却非常有代表性,暴露出云计算服务商之间的安全性缺乏一致性和连续性,为黑客攻击留下了大量漏洞。而对于普通消费者来说,所使用的多个云服务中任何一个被攻破都可能导致一系列网络账号全部“沦陷”,而当事的云计算服务商之间则会互相推诿,互相指责。

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

        在TMT领域具有十余年的咨询和创业经验。 目前主要关注信息安全,同时密切关注云计算、社会化媒体、移动、企业2.0等领域的技术创新和商业价值。拥有美国麻省理工学院MBA学位和清华大学经济管理学院学士学位,曾任BDA中国公司高级顾问,服务过美国高通、英特尔、中国网通、SK电讯、及沃达丰等公司。联系邮件:wangmeng@ctocio.com