iCloud信息外泄 用户质疑苹果安全体系

发布者:CCkicker
发布于:2018-03-12 09:24

2月28日,苹果iCloud中国用户数据正式迁移至云上贵州平台。按照苹果公司的说法,与云上贵州的合作将使公司在提高iCloud服务的速度以及可靠性同时,符合中国的云服务须由本地企业运营的新规。


就在苹果用户数据迁移首日,一位网名为“美国往事1999”的用户在新浪微博爆料称,苹果客服的技术顾问窃取了他在iCloud上的电子邮件等个人信息,并且发送威胁邮件。这起事件引起社会的高度关注。其中最关键的问题是,苹果的技术人员是如何获得用户个人信息等私人资料的?目前距事发已经过去10天,但苹果公司仍未对iCloud用户信息意外泄露给出合理解释。


苹果公司已经于3月5日左右确认了这起事件的真实性,并发表声明回复称:“任何一个AppleCare技术顾问均无法访问顾客的密码、电子邮件、照片等。我们将与这名顾客一起对该事件进行调查,确保Apple员工和承包商团队遵守我们在顾客联络方面设定严格标准。”


但是苹果公司对于事情的处理过程并未令这位起诉的顾客满意。针对上述回应,“美国往事1999”表示:“苹果公司一直在绕圈子,说些官话套话,毫无解决问题的诚意,对事情处理也没有任何积极的作用。”他还把苹果CEO库克和苹果大中华区总裁葛越等微博账号一起@了。


那么苹果的技术人员到底有没有权限进入用户的隐私信息?对此,一位自称在苹果工作过的微博网友表示:“苹果的员工确实没有权限进入用户个人信息。”

一位前微软员工告诉第一财经记者:“在微软,个人识别信息(PII,personal identification information)可以通过一套叫做PENS的系统合规使用。比如可以给特定的群体和用户发邮件,但是无法看到邮件地址。PENS从系统级别上杜绝了员工的职业操守风险。”


苹果是否拥有一套和微软PENS等同的系统不得而知。芝加哥大学计算机教授赵燕斌对第一财经记者表示:“PII是属于用户个人隐私的数据,比如地址、生日、家庭成员的名字等等。企业通常会对这一类信息的API接口做出权限限制,以区分一些其他的非敏感类的信息。如果苹果公司承认员工确实看到了用户的个人隐私信息,这就说明他们打破了这种企业规范,让员工获得了进入这些数据的权限。”赵燕斌还表示,类似事件虽然罕见,但也并不是前所未闻的。


另外值得注意的细节是,这位受害顾客的苹果账户并未开通苹果去年最新推出的双重验证功能。苹果公司官方称,双重验证功能对于保护用户隐私信息以及个人账号的作用至关重要。


北京达晓律师事务所高级合伙人林蔚对第一财经记者表示:“尽管苹果使用的是外包的客服,但是仍然是代表苹果公司的行为,因为技术顾问的权限是由苹果公司授予的。所以如果涉及法律方面的纠纷,应该由苹果公司率先承担责任,然后再由苹果公司向个人追溯责任。”



来源:第一财经日报

声明:该文观点仅代表作者本人,转载请注明来自看雪