iCloud漏洞讓好萊塢女星私密照外流：資安專家談雲端帳號自保之道

美國上百位好萊塢知名女星私密照片外流，駭客可能透過蘋果iCloud漏洞破解密碼竊取這些女星私密照片。資安專家認為，造成資料外流的原因除了服務業者的漏洞，使用者也應加強密碼保護，做好資料加密作好防護措施。

包括珍妮佛勞倫斯、克絲汀鄧斯特等好萊塢知名女星的私密照，近來在網路上外流，駭客利用蘋果iCloud服務漏洞取得這些女星的帳密及私密照片，由於受害者規模達上百位女星，引發外界相當大的關注，美國聯邦調查局也對此事進行調查，蘋果週一也修復可能出事的漏洞。

賽門鐵克首席技術顧問張士龍表示，這些女星私密照片外流除了蘋果雲端服務的漏洞外，也與使用者行為有關。女星們可能啟用了iCloud的同步功能，手機內的照片不分私密與否都會自動備份到iCloud儲存。推測駭客可能利用女星的電子郵件帳號，以暴力破解iCloud密碼竊取清涼照片。

趨勢也認為，除了漏洞外，原因可能與下面有關。

1. 使用不安全、容易被破解的密碼：使用與公開個人資訊高度相關的密碼相當容易遭到破解，駭客只需找尋相關資訊即可盜取資訊。
2. 受害者沒有啟用iCloud雙向認證：當攻擊者知道受害者的iCloud電子郵件地址，攻擊者就可能透過「忘記密碼」功能進行密碼重置。因明星多數個資可從網路取得，包括寵物名稱等等，大幅提升帳號被駭的可能性。
3. 攻擊者先侵入另一個安全性較弱或密碼關連的帳號，以接收iCloud的密碼重置郵件。
4. 重複使用相同密碼：許多人喜歡在多個服務使用相同的密碼，若其他網路服務帳號已被駭，iCloud的帳號也可能遭受攻擊。

趨勢科技資深安全顧問簡勝財表示，使用者本人不好的使用習慣、行為，增加個資被竊的風險，例如駭客以釣魚網站誘騙使用者帳號、密碼，而使用者設定的密碼和個人公開資訊有關也很容易被盜用，例如密碼設定為英文名、生日等等，或是容易被猜出的123456、ABCDEF、password及p@ssw0rd，如果服務商未針對密碼輸入錯誤限定限制次數，駭客就能透過測試登入暴力破解這些密碼。

簡勝財表示，設定密碼的強度能提高駭客暴力破解的難度。另外許多人為了圖方便，不同服務帳號使用相同的密碼，也很容易因為一項服務密碼被盜後，導致其他服務也一起被攻陷。建議iCloud用戶可開啟雙向認證機制。

張士龍也建議，避免私密照片外流的第一原則就是儘量不要拍攝清涼照片，如果還是要拍，同時想透過雲端服務備份、跨平台瀏覽，最好要將照片作好分類，較不私密的照片可上傳雲端，但清涼的照片不要上傳到雲端，儲存在手機或家中的電腦加密保護，就算必需上傳也需先加密後再上傳，如此即使駭客破解雲端服務密碼，也無法直接取得照片內容。同時密碼設定應該混合使用英文大小寫、特殊字元、亂數，以增加密碼的強度。