iCloud被駭 逾百好萊塢女星裸照外洩 「尋找我的iPhone」或肇禍

 
圖片來源：香港明報

美國好萊塢驚爆牽涉廣泛的「艷照門」事件。金像影后珍妮佛羅倫斯、性感歌姬Rihanna、青春名模Kate Upton和加拿大搖滾小天后Avril Lavigne等總數逾100名美、英、澳等地歌影視藝人、名模和體壇紅人的網上戶口遭駭客入侵，大批裸照自周日(8月31日)起在各大社交網站瘋傳，駭客甚至聲稱已手握珍妮佛羅倫斯的性愛影片，可以出售。有影星承認照片屬實，亦有人矢口否認。流出照片疑為駭客闖入蘋果iCloud雲端系統後取得。

香港《明報》綜合報導，「艷照門」周日在類似香港高登討論區的美國論壇網站4Chan出現，被視為歷來最大宗的名人私密照片被公開事件。24歲《失戀自作業》奧斯卡影后珍妮佛羅倫斯(Jennifer Lawrence)的裸照部分是自拍，亦有由別人拍攝，當中不乏性挑逗動作。近年炙手可熱的名模Kate Upton，被爆出與男友在洗手間自拍多張裸照及露骨床上照，甚至疑似私處照片，其發言人稱正研究照片真偽。剛為人母的《熱血喪男》影星卓麗莎龐馬(Teresa Palmer)與前度男友《K歌情緣》史葛施碧文合拍的逾30幀親密照，包括池畔上身半裸或全裸的，也曝了光。31歲美國女子足球門將索洛和18歲體操選手McKayla Maroney亦是受害人。

上傳那批照片的匿名用戶宣稱，不但擁有珍妮佛羅倫斯逾60幀自拍裸照，還有她長達2分鐘的性愛片段，揚言接受「捐款」後公開。另外，該用戶又稱手上還有女星Kim Kardashian、女星姬莉波姬(Kelly Brook)、雲露娜維達(Winona Ryder)、姬絲汀鄧絲(Kirsten Dunst)等101名女藝人和名人的色情照片或影片。

珍妮佛羅倫斯回應時說：「有人為了剝奪別人的私隱而費盡心機，實在太奇怪了。」其發言人表示已聯絡當局，並會起訴張貼照片者。女星溫斯特德(Mary Elizabeth Winstead)對駭客竊取她和丈夫的親密照片表示憤怒，指那些照片早已被刪除，相信駭客是幾經努力才取得。美國歌影雙棲的賈奇(Victoria Judge)指裸照屬移花接木；21歲模特兒格蘭德(Ariana Grande)的發言人亦稱裸照「絕對是假的」。

雖然4chan網站事後火速刪除相關帖子，Twitter也關閉了一些轉載照片的帳戶，但有關艷照已在多個網站廣泛流傳。好萊塢名人消息博客希爾頓(Perez Hilton)一度在其網誌張貼宣稱是珍妮佛羅倫斯與Victoria Judge的「艷照門」照片，後來換上打格照，最後抵不過反彈而移除，並作出道歉。

八卦網站Buzzfeed等報導，那些外泄照片皆是駭客入侵名人的蘋果雲端系統iCloud帳戶而得。蘋果暫時未有回應。(接下頁)

[NT:PAGE=$]

 
匿名發布者聲稱擁有60張珍妮佛羅倫絲的絕密裸照及她的性愛影片。
圖片來源：香港文匯報

香港《文匯報》綜合外電消息，珍妮佛發言人證實有關照片真確，並已報警處理，聲言控告任何張貼照片的人；Kate Upton律師亦證實事件，狠批駭客行為嚴重侵犯當事人私隱，將追究任何發布或散播這些違法圖片的人。

首批照片前日在網上討論區4chan出現，該匿名發布者聲稱擁有60張珍妮佛的絕密裸照，包括她寬衣解帶並在鏡頭前擺出誘人姿勢的性感照。該名用戶又聲稱擁有珍妮佛的性愛影片，要求網民透過Paypal或虛擬貨幣比特幣(Bitcoin)購買。

受害人還包括《死神再3來了》主角Mary E. Winstead和美國歌手Victoria Justice。前者證實部分外洩照片是與丈夫拍攝的私照，稱早已刪除，形容事件可怕；後者則稱裸照造假，是利用她的自拍照移花接木。

該名駭客又公開一張列有101位女星、名人的名單，稱手上持有她們的裸照，榜上有名的包括加拿大搖滾小天后Avril Lavigne、前「蜘蛛女」姬絲汀鄧絲、人氣歌手Rihanna、真人騷女星Kim Kardashian、Victoria"s Secret御用超模Candice Swanepoel等。

發布者到昨日再次在4chan發表聲明，聲稱自己並非駭客，而是一名「收藏家」，並指照片是用錢和比特幣私下交易得來，現在只想賺回成本。他又稱發布照片後網絡經常斷線，又收到可疑電郵，懷疑正被人追緝。如果聲明內容屬實，將意味盜取照片的駭客另有其人，甚至可能涉及多名駭客或集團。

暫未清楚駭客是如何取得這些女星私密照片，有消息指駭客找到蘋果iCloud的漏洞，入侵有關帳戶盜走照片。不過有人質疑說法，認為駭客不可能單從iCloud一個來源取得這麼多不同女星的照片，懷疑駭客可能也入侵了Mashable等社交網站。

事件轟動整個網絡世界，網民瘋傳照片，雖然多個社交網站盡力「撲火」，例如twitter每發現有用戶上載有關裸照，便刪除照片及封鎖有關帳戶，但仍未能阻止風波蔓延。受害女星粉絲對事件表示憤怒，要求警方盡快把犯事者繩之於法。

有傳女星裸照來自蘋果公司的iCloud雲端儲存服務，與最近上映的好萊塢電影《春光乍網》橋段不謀而合。有受害女星提到早已刪除相關私密照，反映數據一旦被上傳至網絡，要完全刪除幾乎是不可能的任務，亦令外界關注雲端等網絡儲存服務的安全性。

《春光乍網》講述男女主角為追求新鮮感，拍下自己的交歡過程，事後想刪除時卻誤把影片同步至雲端，鬧出風波。雖然暫未有證據顯示今次裸照外洩來源是iCloud，但4chan上不少匿名用戶均支持這說法。

用戶啟動iCloud後，有關裝置便會把圖片、電郵、聯絡人資料等數據自動上傳到雲端，讓用戶能在不同裝置同步數據，用戶亦可透過登入名稱和密碼，利用能上網的電腦取得有關資料。分析認為，駭客未必需要攻入伺服器，可能透過其他手段盜取受害人的帳戶密碼，直接登入伺服器取走資料。

外界對裸照來源眾說紛紜，有人認為今次被牽涉的女星人數眾多，難以想像是來自單一來源，估計駭客可能入侵多個雲端伺服器及社交網站。有網絡保安專家懷疑另一雲端服務Dropbox可能亦涉案，並可能有雲端企業員工私下收藏這些照片，結果成為駭客目標，令照片曝光。蘋果及Dropbox暫未置評。

部分雲端服務亦會在用戶刪除檔案時留底，以方便用戶後悔時，可以付費取回檔案，但這意味有關數據無法完全刪除，更可能有外洩風險，例如今次便有受害者被公開已刪除的私照。 (接下頁)

[NT:PAGE=$]

駭客如何取得女星裸照成為焦點，《每日郵報》報導指，駭客是利用密碼破解軟件，透過蘋果公司的「尋找我的iPhone」服務，取得有關帳戶密碼。另外兩款雲端儲存服務Google Drive及Dropbox亦分別在今年6月及5月被發現有保安漏洞，不排除部分私照可能是當時外洩。

報導指出，在開發軟件網站Github上有一款軟件，可以利用「尋找我的iPhone」的保安漏洞，在手機用家毫不知情下，透過反覆測試不同密碼組合，強行偵測帳戶密碼。得手後，駭客便可輕鬆登入有關帳戶瀏覽和下載檔案。事件曝光後，蘋果昨晨迅速進行更新，填補了該漏洞。

據《每日鏡報》報導，4chan是2003年推出的美國貼圖討論區，風格模仿日本討論區2ch，最初主要是為分享日本動漫圖片和文化而設立，但隨用戶增加，討論區規模逐漸擴大，開始出現網絡文化、政治、科技、軍事等專區，是現今網絡流行文化常見發源地之一。

有別於一般網上討論區，4chan毋須使用者註冊帳號，便能以匿名身份發文、瀏覽及回覆。由於網站規範相對較小，故經常出現具爭議性的內容，尤其是幾乎不設規則的「隨機板」(Random，討論區分板為/b/)，今次女星裸照便是上載至該專區。

4chan使用者遍布全球，但大部分來自美國與歐洲，並多次捲入駭客事件，包括2008年美國共和黨前副總統候選人佩林電郵被入侵一事。此前亦有報導聲稱，4chan是著名駭客組織「匿名者」的發源地。

《明報》報導指，蘋果旗下產品iPhone和iPad都可設定至自動在iCloud備份，雖然目前有關照片如何流出的說法眾說紛紜，但事件已引起對這些雲端服務保安的關注。有電腦保安專家坦言，一些重要資料還是儲存於個人CD或USB較安全。

現時只要啟動iCloud自動雲端備份服務，iCloud便會自動將相片、電郵、聯絡資料儲存，容許用家將不同蘋果產品的資料同步，也可以在其他電腦利用密碼登入觀看。由於這是自動備份，就算用戶在手機中刪除相片，該相片的備份仍然存於iCloud。若不希望相片存於iCloud，用家就須要在iCloud選項中剔除相片。

蘋果的數據加密向來被認為屬於高水平，但要盜取iCloud資料，仍可使用間接方法，例如猜測用戶密碼，或取得電郵地址後使用重設密碼服務，透過回答「保安問題」來重設密碼。有專家猜測，今次有可能是黑客取得受害者的密碼入侵。有保安專家呼籲，用戶應啟用雙重認證來加強保安。所謂雙重認證，指的是用戶若從其他電腦登入，用戶要再輸入另一驗證碼核實身分，該驗證碼通常會以短信形式傳到手機。除iCloud外，Google、Dropbox、facebook、Twitter、PayPal及微軟都有提供雙重認證服務。

但供應商的伺服器仍有可能遭黑客攻擊，用家應如何保障私隱？華爾基利信息安全研究組織研究員賴灼東向本報稱，雲端服務供應商在保安上工夫做足，但所謂「道高一尺、魔高一丈」，防守永遠處於被動。他估計黑客今次可能是攻擊服務器或盜取了管理員密碼來入侵伺服器盜取相片。他稱，用家若要在雲端儲存重要資料，可考慮將資料上載時先使用AES(Advanced Encryption Standard )加密技術加密。他建議，若文件屬私人資料，存放於個人CD或USB始終較雲端安全。

素來抱怨欠缺私隱的好萊塢明星眼前最大挑戰，肯定是數碼空間的保安，特別他們的私密照片都有價有市。近年被黑客入侵手機的著名受害藝人，便計有《廣告狂人》的姬絲汀娜漢德里絲(Christina Hendricks)、《新聞室風雲》奧莉花文尼(Olivia Munn)和《花邊教主》碧琪麗芙莉(Blake Lively)等。2012年，男子錢尼(Christopher Chaney)因在網上發布擅自取得的女星史嘉麗祖安遜(Scarlett Johansson)裸照，被判監10年。

美國雜誌GQ當年報導：「即使未得批准，一些不認真的出版商會碰碰自己的運氣，上載那些照片爭取瀏覽量，待收到律師傳票才取下來。廣告收入連同新的訂閱，單一照片一日就可帶來高達5萬美元。」

如何保護帳號安全

■手機和電腦應啟動上鎖功能，並盡快更新作業系統

■避免使用「弱」密碼，例如「qwerty」或「123456」等常見組合，很容易被駭客猜中其他例子包括姓名、伴侶的名字或出生地

■不同帳戶用不同密碼，這樣即使駭客攻破其中一個，其他帳戶不會即時淪陷

■採用雙重認證，例如把帳戶設定成使用一個有別於平常的裝置登入時，會要求透過密碼以外的方式認證登入者身份，最近常見例子包括發送認證碼到帳戶持有人的手機

資料來源：香港文匯報/Mashable網站