作者: 趨勢科技 TrendMicro

2014年爆發史上最大藝人裸照外洩事件,包含奧斯卡影后珍妮佛勞倫斯（Jennifer Lawrence）在內因遭駭客盜取帳號，多達60張艷照火速流傳，甚至登上當日 Google 熱門搜索第一名。正在流傳的照片從有穿衣服對著鏡子自拍到不堪入目的都有。受害者還包括了愛莉安娜·格蘭德（Ariana Grande），凱特·阿普頓（Kate Upton）和維多利亞·嘉絲蒂（Victoria Justice）。

提醒好奇的網友們,很顯而易見地，現在如果點入「明星裸照」連結或打開電子郵件附加檔案都會是個「非常」糟糕的主意，因為不法份子馬上就會利用這個大好的機會。事實上在事件發生後沒幾天,就出現了相關詐騙:想看iCloud被駭明星影片,請先分享到fb?! 搜尋被駭明星關鍵字,當心病毒守株待兔

這些照片首先出現在惡名昭彰的4chan圖片討論區，作者聲稱還有更多的照片，甚或是影片資料。這些都偷自 iCloud 帳號，而且價高者得。當然，這些照片的發布也造成許多假照片的出現，但出現這許多照片的事實（某些已經被受害者的經紀人所證實）帶給所有使用iCloud而想保持隱私的人一個不舒服的問題…我的雲端儲存安全嗎？

趨勢科技分析，本次事件有以下5種可能的發生原因：

1 –被駭者都用弱密碼:所有受影響的明星都因為容易被猜到的弱密碼而被駭。駭客只要找出來就可以登入。針對裸照外流事件，蘋果發出新聞稿指稱他們不認為iCloud有漏洞，可能是這些女星帳號的密碼設定得太簡單。

過去發生的名人帳號被駭事件,簡單密碼確實是主要被駭原因,以下舉兩個例子:

演出”復仇者聯盟”之”綠巨人浩克”一角的馬克魯法洛推特被駭後,駭客留言表示：「我要睡了，希望你能取回密碼，你的帳號被入侵，因為密碼設定太蠢了。」

英國媒體取得被敘利亞反對派攔截的敘利亞總統三千多封電子郵件，其中包括他和妻子的私密對話，還有他向伊朗請益的證據。還意外地發現總統大人下載不少的遊戲和電影,被看光的原因是敘利亞總統信箱密碼竟是在歷年帳密被盜事件中都會入榜的超虛弱密碼「12345」。

2 –受害者未啟用iCloud的雙向認證：如果攻擊者知道受害者iCloud的電子郵件地址，假設受害者沒有啟用iCloud的雙向身份認證，攻擊者就可能透過「忘記密碼」功能進行密碼重置。如果沒有雙向身份認證，密碼重置會採用傳統的「安全問題」作法,因明星多數個資可從網路取得，包括寵物名稱等等，大幅提升帳號被駭的可能性。

過去的名人被駭/病毒事件中,因為密碼提示問題而被入侵帳號的名人:歐巴馬、小甜甜布蘭妮, 莎瑪．海耶克、莎拉裴林,請看相關文章

延伸閱讀:密碼提示問題如何設定才不會被猜中？其實答案很簡單:答非所問

粉絲建議：
「你母親的姓氏？」我覺得還不錯啊…但我設定的答案是…”卡好”。
「我寵物的名字？」我都寫我老婆英文名字。

3 – 攻擊者侵入另一較弱安全性或密碼的關連帳號，也許是用來接收iCloud密碼重置郵件的網頁郵件帳號。 繼續閱讀