近日，约100名女星（其中包括詹妮弗 劳伦斯、爱莉安娜 格兰德、维多利亚 嘉蒂丝、凯特 厄普顿）的裸照似乎被黑客从她们的iCloud账号盗取，并被传到了网上。那些照片先是出现在4Chan网站上，而后传遍网络。提醒一下，iCloud会自动将照片、邮件、通讯录和其它的信息存到网上，使得用户可以在不同的设备上同步这些数据。很多的照片已被证实是真实的，尤其是劳伦斯的。

　　匿名黑客先是将那些照片发布在4Chan上，声称它们是从iCloud账号获取的。黑客以PayPal和比特币捐赠作为发布照片的条件，但仅获赠0.2545个比特币。

　　此次事件很可能不是因为iCloud的安全问题，不过它起到了提醒我们注意普遍的网络安全问题的作用。

　　那么，此次好莱坞艳照门究竟是怎么一回事呢？

　　媒体报道

　　主流媒体报道称那些女星的手机“被黑”。通常来说，这种事情很难界定。

　　劳伦斯之前说过她使用iCloud：“我的iCloud老是提醒我备份，而我不知道怎么去备份。所以就让它自动备份了。”那些照片的元数据显示，它们多数都是用苹果设备拍出来的。

　　“被黑”

　　有人认为是iCloud“被黑”。这尚未得到苹果官方的证实。

　　“黑客”（或者是黑客团伙）不大可能能够攻破苹果的整个安全系统，更有可能是综合利用社交工程、密码破解或者苹果的“Forgot my password”（忘记密码）机制锁定特定的受害者。他们也有可能使用了其它技术含量较低的方法（顺便说一下，非技术手段往往是罪魁祸首。）

　　猜测邮箱地址和密码

　　《时代周刊》曾援引詹妮弗?劳伦斯的话称，她的邮箱地址包含一个关键词。这是不明智的做法。可千万不要在公开场合透露什么蛛丝马迹。因为一旦邮箱地址被识破，黑客就有可能会通过诱导目标人物在虚假页面登陆，从而获取其邮箱地址和密码。

　　这种钓鱼攻击很有可能是罪魁祸首。

　　另外，多款产品服务（如eBay、亚马逊）账号使用相同的密码，意味着一旦黑客猜对了一个账号，他们就有可能使用同样的密码访问你的邮箱或者iCloud账户。

　　另外，苹果的“Forgot my password”机制意味着，如果你知道目标人的生日和部分安全问题的答案，你就可能能够访问他们的账号。网络上有大量明星相关的信息，因此外人猜出他们的密码完全是有可能的。

　　进入iCloud账号后，你不可以查看从你的iPhone自动上传到iCloud的照片或者，但你可以用软件将打包下载下来。

　　iCloud的安全机制

　　要进入Photostream照片流，在新的OS X电脑或者iOS设备上你需要用你的iCloud账号登陆。登陆后，iCloud会发送电邮告知你有新设备登陆。你在所有使用你的iCloud账号的其它设备（iPhone、iPad、Mac）上也会收到相关提醒信息。所以，当你同时收到电邮和提醒信息的时候，正常情况下你都会意识到你的账号被黑，需要马上更改密码。由于提醒信息是即时发出的，快速更改密码意味着Photostream不能够快速同步到黑客的设备，使得它无法下载30天的照片。

　　这是多数专家认为此次事件并非因为iCloud系统被黑的主要原因之一。

　　正常的破解

　　另一种方法可能是通过自动化程序来“蛮力破解”iCloud账号。这种方法在iCloud上难以实施，尽管理论上存在实施的可能性。

　　The Next Web称，Github上的一个Python脚本（还分享在Hacker News上）最近让恶意用户能够“蛮力破解”苹果iCloud上的目标账号的密码，利用Find my iPhone（寻找我的iPhone）服务的一个漏洞。不过，苹果似乎已经修复了这一漏洞。

　　还没有官方消息证实那是元凶。

　　通过其它服务盗取？

　　鉴于很多的裸照似乎都是用Android设备和网络摄像头拍下的，那些被泄露的照片或许并非源自iCloud照片备份服务。很多服务都有自动备份工具，黑客可用类似于侵入iCloud的方式侵入。

　　照片来自Snapchat？

　　部分照片附有文字。难道它们源自Snapchat？很可能不是。它们很有可能属于手机截图。

　　通过WiFi侵入？

　　手机是在名流派对上被人通过WiFi网络侵入的？这一点也无法证实。

　　有内鬼？

　　私人助理和保镖往往能够使用明星的手机。那是因为他们窃取了那些照片吗？这一点也无法证实，但没有相关迹象。

　　设备被盗？

　　名流或者与名流走得很近的人的手机或者笔记本电脑被盗的事件时有发生。

　　我们应该感到担忧吗？

　　不。iCloud相当安全。此次事件似乎属于利用部分上述方法针对性攻击知名女星的事件。

　　如何更好地保护自己

　　最好的方法是启用iCloud账号（或者其它的在线服务账号）的两步验证功能，这样黑客就还需要获取你的手机以及发送到你的手机的验证码才能够登陆。所有其它的服务，如谷歌的，也都支持两步验证。详情可浏览TwoFactorAuth.org网站。

　　确保安全问题足够负责（比如被设置为你的生日，你的宠物名等等）。“qwerty”或者“123456’”可以说是最愚蠢的密码。

　　还是很忧心？那索性在设置中关闭iCloud（或者别的自动同步服务）的照片同步功能好了。那样，照片就只会出现在你的手机或者存有备份的电脑上。之后你可能还会担心你的手机或者笔记本电脑被盗，照片丢失……

　　小心为妙

　　这并不是第一次有明星私照被盗取。2011年，很多明星的照片遭黑客克里斯托弗?钱尼（Christopher Chaney）窃取，钱尼只是通过猜测密码来进入那些明星的邮箱。他最终被捕，被判监禁10年。

　　不过，像那样的黑客很少被抓。所以，对于个人数据还是好好加强安全保护吧！

　　记住：自拍裸照并不违法，你不必为之道歉。在这类事件中黑客才是罪犯。