相關文章

81be2ef37e658d3c5256cfbfa8d252c6 隨著好萊塢女星裸照洩密事件越鬧越大,大眾主要將矛頭指向蘋果的 iCloud。不過最近 The Verge 網站報導,隨著幾位安全研究人員對於部份泄露出來的裸照深入的追查來源,發現事情可能沒有目前表面爆發出來的這麼「單純」,明星裸照外流的狀況 可能遠比我們想的嚴重,而且事情要早在好久以前就發生了。

根據安全專家 Dan Kaminsky 發布的一篇文章,表示大多數的民眾對於這次的裸照事件普遍的看法其實是對於這些女星不表同情的,甚至認為是她們活該。他們認為,如果你不希望這些裸照流出來,最好的辦法就是不要去拍它。

當社群的道德規範被違反,這個社會如果無法懲罰犯罪者,往往就會轉而去懲罰受害人。因為如果不把這些受害者塑造成怪物,他們身上那些無法被懲罰的受害的痛苦,最後就會轉嫁到我們自己身上。因此,就造成了這麼多人普遍而荒謬的結論,他們可以輕鬆的說:

喔,只有這些好萊塢大咖被駭了是他們活該,誰叫他們這麼愚蠢的在手機上拍裸照,吸引了這些駭客來竊取。

真的是這樣嗎?

一個不為人知的地下交易市集

在真實世界中,有很多犯罪行為發生的時候,你都會知道犯罪發生了:房子失竊了,往往都是你發現有東西不見了、或是有人受傷。當然,這些犯罪依然會發生,依然會有房子失竊,但是我們就可以對同樣的犯罪做出反應。

但是,如果犯罪發生之後,而你不知道呢?比方說,你去買東西,某人可能換了假鈔給你,如果你警覺性高,你可能會馬上就發覺。但你也可能沒有察覺,然後又把假鈔換了出去,永遠不知道犯罪發生了。

在 iCloud 事件之前,有另一位安全專家 Po 了一則某個網路上的對話:

這則帖子表示,目前 100 多張名人裸照事件只是冰山一角。目前普遍認為是有一個人或是一群人利用 iCloud 的漏洞,竊取這些名人私密照片。但是早在更早之前,網路圈就已經存在有一個地下的名人裸照交易市集,姑且稱為「Darknet」,這個市集只允許受到信任的人加入,而這些人就在這個市集中彼此交換手中擁有的明星裸照。在這個市集中,只允許以物易物,因此如果你想要付錢來看照片也沒辦法,除非你手中擁有另一個明星的裸照,或是其他更有價值的物品。

地下交易市集的經濟體系

而另外一位安全專家 Nik Cubrilovic 也印證了這個看法,並證實了這個「Darknet」市集的存在。他簡述這個事件的前因後果,起初,有部份名人的裸照在一些如 anon-ib、4chan、reddit 等知名論壇或是影像網站曝光。

第一張照片大約在一週前爆出,但是當時並沒有獲得多少的注意,因為那些照片很快地被買走。最後,曝光出來的照片越來越多,交易越來越頻繁,當一定數量的照片被交易之後,而且有一些完整的裸照被放到公共論壇上,整個故事才爆發出來。

最後,至少有一打以上的名人受到這些照片事件的影響,有超過四百張以上的照片以及影片流出。

Cubrilovic 表示,其實在駭客圈中,對於「Darknet」長期以來是一直保持著「只做不說」的態度,以駭客的「道德準則」來保護這個地下市集。交易原則很簡單,名人的知名度越高,需求越高。在市場上如果這個名人的流出照越少,當然價值也就越高。如果原本就有大量的裸露照,那麼也不值什麼好價值。這有點像是駭客之間的卡牌收集遊戲,你為了收集到更多的卡牌,你就要想辦法去開拓新的資源。

而這個事件的爆發,緣起於某個人突然想要透過這些照片來賺錢,或是想要從此不玩了,因此決定出售手中的卡牌。而其他人看到有人在出售卡牌,便也急於將手中的卡牌脫手,因為如果某些卡牌攤在大眾眼底下,就再也沒有價值了。

Apple 有沒有責任?

針對大眾普遍認為是 iCloud 漏洞造成的問題,Cubrilovic 認為並沒有證據顯示有駭客是利用 FindMyPhone API 暴力破解法來取得這些照片。不過這不代表就沒有駭客使用這種方法來破解,而是表示這些駭客是各施本領去取得照片,或許 FindMyPhone API 暴力破解法是他們用的工具之一,但不見得是全部。

他也不認為駭客是針對 iCloud 而來,Cubrilovic 認為 iCloud 是駭客最喜歡攻擊的目標,原因在於 iCloud 的照片備份功能預設是開啟的,而且 iPhone 又是名人間很受歡迎的一個平台。相對來說,Windows Phone 的備份功能預設是關閉的,而 Android 的備份則是由第三方的 App 來供應。因此,駭客就算是要攻擊 Android 的使用者,也是從第三方 App 來攻擊(或是由 Google+ 的照片備份功能也可以),不過,在這些駭客之間,Apple 的帳號特別有價值。主要是因為在 Recovery 的過程中需要帳號密碼,而且有機會透過這個帳號來存取 iCloud 的帳號。

Cubrilovic 檢視了許多流出檔案的檔案格式、檔名的不一致性,並且有些還帶有一些利用 Dropbox 分享檔案的殘餘檔,可以解釋駭客們用了不同的檔案 recovery 軟體,而且這些人經常利用 Dropbox 來分享檔案。雖然不清楚有多少駭客利用這種方式來取得檔案,但是這些被列在名單上的名人,其中有可能有人也是在這個交易市場中。

有趣的是,這些照片如果在狗仔隊手上,可能都可以賣到天價。但是在這個駭客圈子裡,他們握有的照片顯然比狗仔隊更勁爆,但是卻沒有辦法賣到好價錢。只因為在駭客眼中,照片本身的價值比貨幣價值更高。

Kaminsky 認為,目前這個交易市集應該依然存在。而其中的成員也應該依然在利用他們的技術,持續地竊取名人的新照片,也一定還有更多的女星照片沒有被公開。這些人並不會大肆宣揚,他們默默地這樣做可能已經有兩、三年以上的時間。你不知道自己有沒有被攻擊,但是如果你不知道,他們就會一來再來。

 

 

資料來源:thevergeNotes on the Celebrity Data Theft、 Not Safe For Not Working On

使用 Facebook 留言

百式吞龍
2.  百式吞龍 (發表於 2014年9月06日 23:01)
※ 引述《Xerath》的留言:
> 懶人包:都是駭客的錯,拍裸照上傳到雲端的明星一點問題都沒有!╮(╯_╰)╭

拍裸照上傳雲端本來就沒錯啊
enjoylife
3.  enjoylife (發表於 2014年9月07日 23:01)
事情本來就應該是加害者的錯,不知現在為何,到了後來都指責被害者?真是令人不解,是否大家的道德觀錯亂了嗎?

被害者所能做的祗可以說,沒照這些照片,沒有上傳雲端,可以避免目前的情況發生,但也祗是避免,他/她們做的事情仍非錯誤。

但如此情況下去,雲端的安全功能,就不是當初這些大廠所說的安全了,使用者自已要多小心。

發表回應

謹慎發言,尊重彼此。按此展開留言規則