从Apple ID被黑问责苹果的安全和应对机制
<pre><code> 我个人也是遇到这样的情况,并且MAC也被锁了。据400客服说苹果电脑被锁可以凭购买凭证包装盒等可以直接去售后解锁。</code></pre>
转载来自:赫墨i青青
这篇文章写给已经有相同遭遇的人,和可能会面临相同遭遇的你。真爱生命,远离苹果。
一、引子
3月1日晚上,自己和家人的4台手机加1台ipad同时被抹被锁。
迅速上网查找,发现从2014年开始就断断续续有人中招,去年网易邮箱被黑之后有一波数量激增。今年1月份开始又出现不少的受害者。而且不是简单联系店铺或客服就能解决的问题。
二、案情重现
经过几天跟苹果400技术客服的斗智斗勇,发现客服水平参差不齐,关于技术问题的说法也不尽相同。在总结几位客服的说法后大致理清了整个逻辑,这里还原一下Apple ID被黑最常见的一种方式。
图解苹果变砖图解苹果变砖
可以看到,B在整个过程中非常顺利的,甚至是在C的协助一下,完成了偷梁换柱的把戏。最后A只知道锁设备的ID,密码、安全问题、救援邮箱和两步验证通通在B手上。
除此之外,还有不慎登录骗子id导致被锁的情况,不过其结果类似。
三、孰是孰非
整个过程中,苹果的问题出在哪里?
1.安全问题不安全。B打电话给C验证两个毫无意义的问题,就可以抹去注册时设置的安全问题。
2.主id随意修改。很少听说网络账户的主id可以随便修改,特别是在没有实名的情况下。
3.没有强制实名制和绑定手机号。当今涉及到财产和支付的软件几乎都强制实名制,绑定手机号也几乎等于实名,这样骗子不敢轻易的去实名,会增加不少犯罪成本。万一证实是骗子所为,根据身份来成功追查的可能性也会高不少。
4.验证过程繁琐。A为了恢复手机,唯一的办法是联系C,告知反锁设备的id,提交购机发票、盒子背面照片、手机开机i信息、手机被抹照片、手机背面照片以及骗子的勒索截图,从而证明设备是自己的。这一过程,因为需要提交到D验证,通常是7-15天,但是现在因为受害者众多,起码需要1-2个月,2个月以上没有解锁的也大有人在。
逆向思考一下,如果是小偷偷了这台手机,手机被原持有人用他的id反锁了,小偷根本不可能知道锁手机的id是什么,也就不会联系C去解锁。
而且现实可笑的是,如果A可以拿回原本主邮件的控制权,这个id的主邮箱在手上,只是不知道密码和其他验证方式,但是设备也同时在手上,谁会用自己邮箱注册的id去锁掉自己手中持有的设备?
5.客服应对问题。因为最近设备被黑数量急速上升,400电话通常需要等到30分钟以上才能够接通技术顾问来解决问题。客服态度都不错,但是业务水平良莠不齐,而且因为这种窃取id的模式肯定是苹果事先没想到的,没有很完善的应对预案,有些技术问题还会被我问到无言以对。据内部人士的消息,因为最近这类的工作量和压力增大,客服已经开始出现群体离职的现象。
5.苹果官方不作为。早在2014年就有ID被黑的例子出现,去年在网易邮箱泄露之后数量激增,但是直到3月7日的今天,官方仍然没有采取任何特别的措施来应对。比如邮件通知广大用户警惕ID安全,添加救援邮箱和开启两步验证。因为这些在注册id的过程中都不是必须的,甚至早年注册id的时候根本还没有两步验证。苹果新开发的安全功能,但是因为对用户教育不够,用户根本不知道这些。这种情况下,被不法之徒利用安全机制的漏洞盗取ID,引发的后果肯定需要苹果来承担。
苹果之外,主邮箱被盗也需要承担一定责任。有些人觉得因为是网易的邮箱大面积被黑,直接导致了此次的apple ID被黑,苹果相当于帮网易背了黑锅。其实受害者不单是网易邮箱,还有不少腾讯和搜狐邮箱。这里不是为了网易洗白,但是一个向来以安全著称的系统,居然把安全机制交给别的邮箱,邮箱被黑自己的账号就可以面目全非,这样完全说不过去。
同时,用户对于邮箱的疏于管理也是原因之一。不过之于我而言,2009年前后注册了Apple id,但是因为一些原因这个老邮箱没有再使用,仅仅作为Apple id使用,因此几乎不登录邮箱。只是万万没想到,生平从不乱点链接、蹭免费wifi的我,因为邮箱被盗就可以让Apple id被人改的面目全非,在手里的手机ipad也可以被黑。
四、后话
加了几个被害者的QQ群,不断看到有新的成员加入,讲述自己被黑的经历,仿佛看到了几天前那个焦虑的自己。一个个为了证明“自己的手机是自己”,找出盒子和三包卡,时间久远的发票早就没有了,可能这样就没法证明“自己的手机是自己的“。
苹果,你看到了么!
无论你的硬件软件多么厉害,无论此事如何解决,从此苹果一生黑。