iCloud資訊外洩 使用者質疑蘋果安全體系

CCkicker發表於2018-03-12

2月28日,蘋果iCloud中國使用者資料正式遷移至雲上貴州平臺。按照蘋果公司的說法,與雲上貴州的合作將使公司在提高iCloud服務的速度以及可靠性同時,符合中國的雲服務須由本地企業運營的新規。


就在蘋果使用者資料遷移首日,一位網名為“美國往事1999”的使用者在新浪微博爆料稱,蘋果客服的技術顧問竊取了他在iCloud上的電子郵件等個人資訊,並且傳送威脅郵件。這起事件引起社會的高度關注。其中最關鍵的問題是,蘋果的技術人員是如何獲得使用者個人資訊等私人資料的?目前距事發已經過去10天,但蘋果公司仍未對iCloud使用者資訊意外洩露給出合理解釋。


蘋果公司已經於3月5日左右確認了這起事件的真實性,並發表宣告回覆稱:“任何一個AppleCare技術顧問均無法訪問顧客的密碼、電子郵件、照片等。我們將與這名顧客一起對該事件進行調查,確保Apple員工和承包商團隊遵守我們在顧客聯絡方面設定嚴格標準。”


但是蘋果公司對於事情的處理過程並未令這位起訴的顧客滿意。針對上述回應,“美國往事1999”表示:“蘋果公司一直在繞圈子,說些官話套話,毫無解決問題的誠意,對事情處理也沒有任何積極的作用。”他還把蘋果CEO庫克和蘋果大中華區總裁葛越等微博賬號一起@了。


那麼蘋果的技術人員到底有沒有許可權進入使用者的隱私資訊?對此,一位自稱在蘋果工作過的微博網友表示:“蘋果的員工確實沒有許可權進入使用者個人資訊。”

一位前微軟員工告訴第一財經記者:“在微軟,個人識別資訊(PII,personal identification information)可以透過一套叫做PENS的系統合規使用。比如可以給特定的群體和使用者發郵件,但是無法看到郵件地址。PENS從系統級別上杜絕了員工的職業操守風險。”


蘋果是否擁有一套和微軟PENS等同的系統不得而知。芝加哥大學計算機教授趙燕斌對第一財經記者表示:“PII是屬於使用者個人隱私的資料,比如地址、生日、家庭成員的名字等等。企業通常會對這一類資訊的API介面做出許可權限制,以區分一些其他的非敏感類的資訊。如果蘋果公司承認員工確實看到了使用者的個人隱私資訊,這就說明他們打破了這種企業規範,讓員工獲得了進入這些資料的許可權。”趙燕斌還表示,類似事件雖然罕見,但也並不是前所未聞的。


另外值得注意的細節是,這位受害顧客的蘋果賬戶並未開通蘋果去年最新推出的雙重驗證功能。蘋果公司官方稱,雙重驗證功能對於保護使用者隱私資訊以及個人賬號的作用至關重要。


北京達曉律師事務所高階合夥人林蔚對第一財經記者表示:“儘管蘋果使用的是外包的客服,但是仍然是代表蘋果公司的行為,因為技術顧問的許可權是由蘋果公司授予的。所以如果涉及法律方面的糾紛,應該由蘋果公司率先承擔責任,然後再由蘋果公司向個人追溯責任。”



來源:第一財經日報

相關文章