苹果ID泄露疑云调查

本文转自微信公众号： 今晚财讯 （ID:jinwancaixun），作者：米娜。

一场大范围的苹果手机用户Apple ID被盗风波正席卷全国。

在几个Apple ID被盗的QQ维权群里，来自全国各地的受害者近一千人。

但这只是冰山一角。

“还有很多人Apple ID被盗了根本不知道，有些受害者没有参与维权，实际受害人数应该远远超过这个数字。”从事多年网络安全工作的黄杨 （化名） 称。

在他看来，这是一条百分之百针对中国苹果手机用户的黑色产业链，团队作案，规模不小。

随后，《今晚财讯》记者被拉到一个Apple ID被盗维权群里，有400多名受害者在群里商量该如何去跟苹果维权。他们被盗时间从今年2月到10月，其中9-10月被盗用户数占大多数。被盗刷金额从几百至数万元不等，大多集中在2000-3000元。

黄杨告诉《今晚财讯》，今年七八月份以来，他身边就发生了好几例Apple ID被盗事件。跟业内诸多从事手机安全的同行交流之后，他发现有用户在Apple ID被盗后，手机里的微信历史聊天记录也很快被破解并外泄出来了，“连微信的账号密码都能被准确地掌握到，那显然不是微信单方面能解决的问题”。

黄杨称，他们一直在追踪，并最终发现这是一条黑产。“如果能获得几千万到上亿元的资金，对任何一个黑产团队都是非常大的收入了。”

那么这些Apple ID都是如何被泄露的呢？

“这次被盗，不像是黑客攻破了苹果手机的漏洞，反倒是撞库或内部人作案的可能性更大。”北京白帽汇科技CEO赵武告诉记者。

所谓撞库，是指黑客利用网络上已经泄露的大量的用户数据，利用用户相同的习惯 (相同的用户名和密码) ，去尝试登陆其它的网站，从而导致其他网站上的信息也被破解。

苹果手机为什么会在中国发生如此大规模的ID被盗事件？

“今年2月底，苹果将中国用户的iCloud数据库从美国搬到了云上贵州。”黄杨沉默了一下，回答说。

被窃取的微信聊天记录

10月11日下午，深圳腾讯大厦。

身为腾讯微信支付部门的风控负责人，李成 （化名） 正焦急地跟同事讨论关于微信在iCloud上的备份问题。

iCloud是苹果推出的个人云存储业务，主要用于存储iPhone、iPad等设备上的照片、视频、文档和App数据，以便在各个设备间实现同步更新。

这次Apple ID被盗事件中最奇怪的是，不仅仅是用户的Apple ID账号密码被泄露，泄露的还有一些用户的微信聊天记录。

但李成告诉《今晚财讯》：“微信聊天记录平时在手机里是加密备份的，你换个手机就看不到这些聊天记录了。”

那么，黑客是如何拿到一个人苹果手机里的微信聊天记录的呢？

李成分析后得出这样的结论：因为iCloud备份了微信整个App的数据。黑客拿到Apple ID账号密码后，换个手机用iCloud恢复微信App，如果他同时知道了你的微信账号和密码，那他用密码登录微信后，就能看到解密后的历史聊天记录。

根据微信与苹果手机的相关协议，微信将应用软件内的聊天记录等数据备份在苹果手机上，当iCloud同步微信数据时，这些聊天记录也会同步上传至iCloud中。

而这里面最让人担心的是，iCloud不仅备份了微信的数据，几乎大部分手机软件里的App数据都被它备份了。

在QQ维权群里，有用户发现支付宝账单里出现了不明的大额消费。

10月10日，支付宝通过官方微博发布消息称：近期，支付宝检测到部分iPhone用户的ID出现被盗，由此带来相关ID绑定的支付工具遭到资金损失。

“iCloud全盘备份手机里的软件这个功能很危险，一旦ID被泄露，用户在各个手机软件里的隐私都很危险。”李成表示。

但令李成担忧的是，目前微信单方面在技术上很难做到限制微信的聊天记录这一项上传到苹果手机的iCloud，因为是iCloud的备份行为是在手机后台进行的，作为前台的App一般都感知不到。只要用户选择同意备份，所有前台软件的数据都会被上传至iCloud。

2017年6月1日，《中华人民共和国网络安全法》正式实施，该法律对在中国境内经营的国外公司做出了新规定，为了最大程度上维护消费者权益，必须将敏感数据存储在国内的服务器中。

于是，今年1月10日，苹果公司发布公告称，从2月28日起，中国内地的iCloud服务将转由云上贵州大数据产业发展有限公司 （简称“云上贵州”） 负责运营。苹果手机用户Apple ID的国家或地区设置为中国的都在这次转变的影响范围内。

根据协议，苹果公司授权云上贵州公司作为苹果公司在中国大陆运营iCloud服务的唯一合作伙伴。云上贵州公司作为运营主体，在中国大陆境内运营iCloud服务。

苹果将在中国建造两个iCloud数据中心，分别在内蒙古乌兰察布市和贵州贵安。其中贵安数据中心，今年5月已正式开建，将花费10亿美元。

苹果手机用户最直观的体验，是在iCloud这朵云的logo底下会标明“由云上贵州公司运营”，这曾被视为苹果进入中国具有战略意义的一步。

根据澎湃新闻报道，对于云上贵州是否能够查看用户iCloud中数据这一问题，苹果官网上的iCloud服务模块已经发布了相关的解释，在“访问您的账户和内容”一栏中明确写道：“您理解并同意，苹果公司和云上贵州有权访问您在此服务中存储的所有数据，包括根据适用法律向对方和在彼此之间共享、交换和披露所有用户数据 （包括内容） 的权利。”

有网友反馈，在iCloud转到贵州之后，出现了iMessage垃圾信息暴增的现象。不少网友称，“原来还好，自从iCloud转到贵州后，老是收到iMessage垃圾信息”。

但云上贵州相关负责人曾对媒体回应称：“iMessage并不属于云上贵州公司运营中国大陆iCloud业务范畴。”

一名知乎用户在《中国内地的iCloud服务转由云上贵州运营意味着什么？》的问题下回复称：“昨天同意了icloud的服务迁移，今天1点开始就接到贵州的营销诈骗电话，目前已经2个了。我的号码所在地是上海，已经使用8年，从来只接过江浙沪推销诈骗，第一次接到贵州的。“

百万美金的苹果漏洞

10月11日，苹果CEO库克现身北京一家互联网公司。他为何而来，人们不得而知。

但此时，无数的维权电话已经打向全国的苹果客服热线，他们的申诉绝大部分都得不到回复，退款审核不予通过。

苹果将会如何解决这次Apple ID被盗的问题呢？

在黄杨看来，如果是黑客攻克了苹果手机的漏洞造成的，那毫无疑问，这是苹果公司的责任，损失将由苹果来承担。但他认为这种情况的概率很低。

“你知道苹果手机的一个漏洞在市场上价值多少么？至少值100万美元以上。”

早在2016年，美国的“网络军火商”zerodium就曾公开向外界悬赏100万美金来破解苹果手机，而且上不封顶。也就是你只要能挖到一个苹果手机漏洞，立马就能获得至少百万美元的奖金，甚至更高。

即使不卖漏洞，如果掌握了苹果手机的漏洞，黑客也能生成一个应用分发市场。通过这个漏洞，可以不用通过苹果应用商店的审核条款，直接将一些应用App安装在用户的苹果手机上，这也是一个很大的生意。

早年的黑客，可能是为了恶作剧。但现在，漏洞早已经成为各个国家的核心战略资源。“就跟武器一样，在公开市场上都能卖上高价，根本不用去做黑客靠犯罪赚钱，更不会轻易用在民间。”白帽汇科技CEO赵武表示。

而如今，国内顶级的白帽 （用黑客技术来维护网络关系公平正义的人员） 年薪都是百万元以上，一些安全人员甚至达千万年薪。因为他们挖到一个漏洞价值数万美金，有的团队一年可以挖到数百个漏洞。

2017年在温哥华举办的全球顶级黑客大赛Pwn2Own，已经连续举办10年了，大赛的奖金就高达百万美金。现场高手如云，来自中国、美国、德国的11支战队，完成针对主流浏览器、操作系统、虚拟机、文档软件等攻破项目。

“漏洞是一次性的，你用来做黑客，公司很快修好了就没了。从投入产出比讲，撞库的成本最低，不用太多技术，而且屡试不爽。”赵武表示。

近些年，用户数据经常发生大规模泄露的事件。

2015年，网易的用户数据库遭泄露，影响数量总共近5亿条，泄露信息包括用户名、密码 (MD5) 、密码提示问题/答案 (MD5) 、注册IP、生日等。

2016年12月，京东一个12G的数据包开始在黑市流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度，数据多达数千万条。

今年8月，华住酒店集团的官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码约5亿条用户数据被泄露。

因为很少有用户在每个平台设置不同的密码，所以黑客会利用网络上已经泄露的大量的用户数据，去尝试登陆其他网站。

同时，贩卖已泄露数据、贩卖隐私的生意一直屡禁不绝。

2017年，公安部指挥破获一起特大盗贩公民信息案，共抓获犯罪嫌疑人96名，初步查获涉及物流、医疗、社交、银行等各类被盗公民个人信息达50亿条。

在黄杨看来，如今很多犯罪的黑客根本没用太多的技术，大部分是利用已经泄露的数据“撞库”成功。但这次苹果Apple ID被盗，撞库或者内鬼的可能性更大。

据了解，在信息安全行业，目前的数据泄露事件，有30%来自于黑客，有70%来自于内鬼。

由于黑客无名，所以绝大部分的黑客攻击事件，都是为了利益。

在此次苹果Apple ID被盗事件中，除了账号被泄，苹果手机的强制免密支付才是导致大量用户遭受财产损失的主因。

在QQ维权群里，苹果的强制免密支付将成为此次被盗的苹果手机用户维权的重点。

《今晚财讯》记者在苹果手机账户中发现，其内设的付款方式有支付宝、微信、银行卡、快捷支付等，而苹果账户在绑定支付宝或微信等支付方式时，必须选择免密支付。

而互联网上资金最好变现的渠道就是那些游戏充值或是道具，所以这次很多人的账户被盗后被用去买游戏装备，或者开通收费订阅。“收费订阅量越高，黑客拿的钱就越多。”赵武表示。

互踢皮球，谁之责？

尽管苹果公司10月11日回应称正在积极解决ID被盗问题，但上海、北京等地的苹果中国公司对被盗刷用户提出的退款申诉却表示无法操作。

一些苹果手机用户的支付宝也被盗刷。《今晚财讯》在询问支付宝所属的蚂蚁金服会如何处理时，蚂蚁金服市场公关部工作人员表示，这次主要是由于Apple ID被泄露导致的，如果账号泄露了，任何支付方式都有风险。

事实上，在此之前，安全领域曾多次发生过同类型案例。“就算最终黑客被抓，但往往没有任何一个人或公司会宣称对大量的受害者负责。”赵武表示。

根据我国《刑法》第287条 （利用计算机盗窃公私财物） 和第264条盗窃罪，盗窃公私财物，数额巨大或者有其他严重情节的处三年以上十年以下有期徒刑。

黑客一旦被抓，等待的是法律的制裁。但相关公司该如何负责呢？

2018年1月3日，英特尔芯片被发现共有两个漏洞，分别称为“崩溃”和“幽灵”。黑客可利用这两个漏洞读取设备内存，获得密码、密钥等敏感信息。而英特尔、ARM、AMD等CPU产品纷纷遭受影响。其中，英特尔CPU受影响最为严重，影响范围从酷睿一代到八代全部没能幸免。

事件发生后，英特尔、微软、谷歌、苹果、亚马逊、ARM等巨头一起联手，设法解决漏洞问题。

黄杨认为，安全领域的事情，往往必须多方联手才能共同解决。

而此次苹果手机Apple ID被盗事件中，至少在强制免密支付环节上，苹果公司就存在设计上的安全问题。

“苹果强制免密支付是为了方便，它选择了便利性而不是安全性。加入密码、二次身份认证或生物识别，都可以帮助用户极大地避免盗刷。”赵武表示，在受害者维权后，苹果公司可能会修改默认的强制免密支付。

对于普通的苹果手机用户而言，为了防止手机信息被盗，赵武认为主要有以下几种方法：

首先，就是尽量将支付的账号跟密码在各个平台都设置得不一样；其次，是把二次验证要打开，尽量关闭免密支付；第三，尽量不要去用免费的wifi，或者连一些公共wifi，不要使用公共充电线，不要去扫来路不明的二维码等。

本文转自微信公众号：今晚财讯（ID:jinwancaixun），作者：米娜，赵雪娇对本文亦有贡献。

未来面前，你我还都是孩子，还不去下载虎嗅App猛嗅创新！