3月5日晚,名为“美国往事1999”的博主在微博发文称其iCloud 帐户被苹果官方技术顾问窃取,一系列个人信息和资料遭泄露,该苹果官方技术顾问还恐吓他说“要把你的账号和资料都给你 share 出去”。尽管事件的真实性还有待考证,但该文在微博上迅速发酵,大量网友评论转发。截至发稿,苹果尚未给出回应。

本文篇幅较长,耐心有限的朋友可以先看主要结论:

1.隐私护卫队联系到爆料博主,但除了已经公布的电话录音、截图等材料,他拒绝提供其他证据以佐证爆料真实性。

2.苹果多位技术顾问告诉隐私护卫队,苹果有严格的隐私保护制度,作为技术人员无权自行登录用户帐户或获取用户个人资料。苹果总部没有出面回应。

3.因为爆料博主说自己与技术顾问的争执因iCloud 服务转移至云上贵州而起,微博上有大量网友质疑此事与云上贵州有关。但根据隐私护卫队对爆料博主及苹果的采访,如果这起爆料属实,矛盾主要发生在苹果和博主之间,与云上贵州并无关联。博主本人也在微博作出说明,称“敲诈勒索”他的技术顾问来自苹果,与云上贵州无关。

“美国往事1999”微博截图。

事件回顾

爆料博主:被苹果人员报复,iCloud帐户遭到入侵

据“美国往事1999”叙述,他在2月28日拨打苹果客服热线4006668800咨询iCloud相关事宜,与接线的苹果技术顾问发生了争执。通话结束后,该技术顾问用属地上海的电话回拨进行骚扰。

“美国往事1999”在微博贴出通话截图,称两人发生口角后,该技术顾问用02161791000的电话回拨进行骚扰。

“美国往事1999”回忆,当晚21:56,该技术顾问又用一个属地西安的号码打来电话并亮明身份。该技术顾问自称已利用职务之便侵入了他的iCloud 账户,拷贝了其中的个人信息和资料,并用 QQ 邮箱给“美国往事1999”的三个邮箱(163、Hotmail、iCloud)各发了一封邮件。

该技术顾问让“美国往事1999”加QQ找他,如果一小时内没加,就把“美国往事1999”的个人信息和资料公开,以后“美国往事1999”别想用包括手机和电脑等苹果设备。该技术顾问还对“美国往事1999”表示,不敢说让他生不如死,但肯定会给他的生活和工作上带来不便。

在微博文章中,“美国往事1999”贴出了这通电话的录音。

以下为隐私护卫队整理的录音内容:

男:苹果的高级技术顾问。
当事人:你不是后来打过电话来骂我来了吗?
男:对,但是我想跟你说一件事儿。
当事人:嗯,你说吧。
男:我往你的邮箱里发了三封邮件,我不知道你看没看到,一个是 Hotmail,一个是163,一个是iCloud。然后我就,其实我很好奇,你为什么一定要把你的iCloud 账号啊,就是不想用云上贵州来运营。所以说我就利用我一点儿职务之便,我就把你的信息稍微拷贝了一下,你如果要是感兴趣的话,你可以看一下我给你发的邮件。我是用我的 QQ 号给您发的。可以的话咱们两个可以用 QQ 私聊。我呢,(当事人:你叫什么呀?)其实,这么来跟你讲,(当事人:你叫什么呀?)听我讲完呀。
当事人:你先说你叫什么?
男:我叫什么我肯定是不能告诉你,我也不傻对不对,你听我讲完。但是我只是觉得,不管怎么讲,我哪怕我现在豁上一份工作,我也让你感受一下,什么叫做爽。你可以加一下我的 QQ,我给你看一些你想看的东西,好吧?咱们大不了的话你可以看一下,好不好?我让你……
当事人:你这是威胁我呢?
男:我没有威胁你呀,我威胁你什么了?我是问你要钱了,还是问你要什么了?我没有威胁你呀。你可以加,也可以不加。
当事人:你给我发 QQ 让我发什么呀?
男:如果说你想看的话,你就可以加。你不想看的话呢,那也没关系,你,以后,苹果设备,你的两台 iPhone4,一台 MacBook Pro还是 Air 我记不太清了,以后苹果设备你就不要用了,我不敢说让你生不如死,至少会给你带来一点工作上或者说其他生活上的一些不便。第二个,如果说你,以后再用这个账号……
当事人:你这种行为已经违法了你知道吗。
男:我违你X了个XX。你爱加不加,一个小时之后,如果要是说你这个什么,你要是加的我那我就给你看点儿东西,你如果要是不加的话,那以后你这个信息我都给你……
当事人:我在外面呢。
男:我就给你扔出去。你爱加不加,就一个小时。别的不说,好吧?拜拜。

“美国往事1999”说,当晚回到家后登录了Hotmail和iCloud的邮箱,确实发现了该技术顾问所说的 QQ 邮箱来信。他提供的截图显示,发件时间为2月28日下午17:55。

“我的三个邮箱,163是常用邮箱,Hotmail邮箱很多年没怎么用,iCloud邮箱更是根本没用过,那么,他是怎么知道我的这三个邮箱的呢?还知道我的名字,电话,第二天我登陆了我的苹果ID管理主页,才看到原来我的名字和三个邮箱信息全在这里显示。” “美国往事1999”据此推测,该技术顾问确实侵入了他的iCloud 帐户。

“美国往事1999”提供的 iCloud管理主页截图。

此外,“美国往事1999”称,3月1日上午,他的 iCloud 邮箱收到了一封登录提醒邮件,但他在邮件提示的时间并没有登录操作。此事让他更加相信iCloud帐户及资料已经泄露。

“美国往事1999”提供的登录提醒邮件截图。

“苹果的iCloud 里面存储有通讯录、照片、邮件、云盘、备忘录等大量重要的个人信息和资料,而且我的备忘录里还有许多金融和其他领域的账户的用户名和密码。到现在为止,并不知道被拷贝了多少。”“美国往事”1999说,事情发生后他多次拨打苹果客服反映,先后有三位不同的人自称值班经理回电询问,但也只是重复了解事情经过,直到第三天才确定下来由一位女性经理跟进。

3月6日中午12:38分,“美国往事1999”发布微博更新事件进展。他说当天上午接到了苹果工作人员的电话,对方告知已开除涉事员工,但拒绝透露具体信息。“该员工窃取拷贝了我多少个人信息和资料,有没有做他用也拒绝透露。最终就是不给说法。” “美国往事1999”表示。

“美国往事1999”告诉隐私护卫队,这名工作人员是男性,自称比之前的女性经理级别高,因此他以该工作人员的说法为准。

博主回应

网友质疑事件真实性 爆料博主称已报警并立案 对于“美国往事1999”的说法,一些微博网友提出了质疑,认为文中证据可能是伪造的。博主没有开通双重认证吗?为什么对方可以在新设备上直接登录博主的iCloud?有网友就此发问,“美国往事1999”回应称,他的帐户没有开启双重认证功能。

据了解,用户在登录iCloud帐户时可启用双重认证功能,有了双重认证,只有通过用户信任的设备才能访问帐户。当用户首次登录一部新设备时,需要提供两种信息:密码和自动显示在受信任设备上的六位验证码。输入验证码后,用户即确认信任新设备。

例如,用户有一部 iPhone ,打算在新买的 Mac 电脑上首次登录iCloud帐户,此时他的iPhone会收到提示信息。只有在Mac上输入密码和显示在iPhone 上的验证码之后,他才能在Mac上使用帐户。

还有一些网友提出,凡是致电苹果官方寻求技术支持的用户,都会获得一个案例编号以记录进展,建议“美国往事1999”公布案例编号或其他更多证据,以证明其遭遇的真实性。但“美国往事1999”对隐私护卫队表示,目前他不便透露案例编号,因为不确定这是否会造成更多的个人隐私泄露。对网上的质疑他不予置评,“有好事者想分析就分析去吧”。

他还表示,目前自己已报警并立案,由于担心影响案件侦办,不便透露报案地点。下一步打算等待警方的调查结果,同时也看看苹果会不会有新的回应。“必须把我关切的问题弄清楚告诉我。还有后续如发生我的个人信息和资料发泄情况怎么办? 涉及财产安全的情况发生怎么办?”他说。“道歉是必须的,首先得把事情调查个清楚明白,给用户一个交代,不能就这样不明不白蒙混过去。”

苹果回应

高级技术顾问竟有权限查看密码? 苹果客服否认

3月7日下午,隐私护卫队以用户身份数次拨打“美国往事1999”此前提到的客服电话4006668800和02161791000。可以确认的是,这两个号码都是苹果的官方电话,可以转接至技术顾问。在通话中,隐私护卫队重点核实了两个问题:

“美国往事1999”的遭遇确实存在吗?内部有无听说相关情况?

各个技术顾问均表示对此事并不知情,且技术顾问只能解答技术问题,一切非技术问题应以苹果官方的回应为准。其中一位高级技术顾问告诉隐私护卫队,目前公司内部没有相关通知,也没听说有同事被开除,无法提供更多信息。

“美国往事1999”所说的高级技术顾问具有“职务之便”,是怎么回事?苹果高级技术顾有权查看用户的 iCloud账户密码及其中的个人资料吗?

几位技术顾问都说,无论是普通顾问还是高级顾问,都无权查看用户的个人资料。在用户拨打客服热线咨询后,技术顾问一般会询问用户的姓名、电话,以防电话突然中断与用户失联。如果用户咨询事宜与iCloud 帐户相关,技术顾问会索要注册帐户的邮箱地址,以检查该帐户是否处于可用状态。若要进行其他操作,均需用户本人通过自己手上的设备验证同意。帐户内的所有个人资料,对于技术顾问来说都是不可见的。

有网络安全从业者告诉隐私护卫队,为内部人员开通查看用户资料甚至是读取用户隐私的权限,从技术上是可行的。具体还得苹果内部如何进行权限管理。此外,只要有权限管理的系统,不管它再怎么完美,都可能有漏洞,理论上说,黑客可以找到漏洞进行越权访问。

隐私护卫队就此事联系苹果的媒体部门进行核实,截至发稿尚未获得回复。隐私护卫队会持续关注此事,进行追踪报道。