出演电影《饥饿游戏》和《美国骗局》的詹妮弗·劳伦斯（Jennifer Lawrence）、阿丽亚娜·格兰德等多名好莱坞知名女演员、歌手、模特的大量裸照被外泄事件，引起轩然大波，所有流出的照片都是，存储在苹果的云服务 iCloud 里面的。黑客是如何做到的呢？这个事儿给我们带来了什么警示呢？

事情的经过

真的是人怕出名、猪怕壮，对于名人来说，个人隐私是完全不存在的。时时在公众的监视下过日子，随时都可能被拍，这种条件下还自己拍自己的裸照，真的是no zuo no die。

挑了一张尺度最小的照片

2014 年 8 月 3 1日，论坛类网站 4chan，一位用户发布了包括詹妮弗·劳伦斯（Jennifer Lawrence）、莉亚·米歇尔(Lea Michele)、凯特·厄普顿(Kate Upton)、克尔斯滕·邓斯特(Kirsten Dunst)、霍普·索罗(Hope Solo)在内的100多位女演员和歌手的裸照。

詹妮弗·劳伦斯（Jennifer Lawrence）

虽然发布的照片很快就被删掉了，但为时已晚，照片开始在 Twitter 和文件共享网站上传播。

克尔斯滕·邓斯特(Kirsten Dunst)在《蜘蛛侠3》中出演

维多利亚·贾斯蒂斯（Victoria Justice）也出现在泄露的照片中，不过她在推特上声称“泄露的照片是假的”。

维多利亚·贾斯蒂斯（Victoria Justice）

These so called nudes of me are FAKE people. Let me nip this in the bud right now.

这些所谓的我的裸照，是假的人，现在让我把谣言扼杀在萌芽状态。

— Victoria Justice （@VictoriaJustice） August 31， 2014

曾出演《死神来了3》的玛丽·伊丽莎白·温斯特德（Mary Elizabeth Winstead）则大方的承认，泄露的照片是几年前在家中和丈夫拍的。

玛丽·伊丽莎白·温斯特德（Mary Elizabeth Winstead）

To those of you looking at photos I took with my husband years ago in the privacy of our home, hope you feel great about yourselves.

对于那些看了我多年前和我丈夫在我们家拍摄的照片的人，希望你自己感觉不错。

— Mary E. Winstead （@M_E_Winstead） August 31， 2014

詹妮弗·劳伦斯（Jennifer Lawrence）的发言人也承认流出的照片是真实的，并打算起诉泄露照片的人。

詹妮弗·劳伦斯（Jennifer Lawrence）

This is a flagrant violation of privacy. The authorities have been contacted and will prosecute anyone who posts the stolen photos of Jennifer Lawrence.

这是对隐私的公然侵犯，我们已经联系了当局，并将起诉任何发布詹妮弗·劳伦斯被盗照片的人。

—詹妮弗·劳伦斯的发言人

艳照泄露的女明星们

流出的男人的裸照倒是并不多。男人在很大程度上可以裸露自己的身体而不受什么影响，除非像戴夫·弗兰科（Dave Franco）与艾莉森·布里（Allison Brie）和贾斯汀·维兰德（Justin Verlander）与厄普顿（Upton）一样，流出的照片中，他们恰好与一名陌生的年轻女子在一起。

苹果和警方的联合调查

有媒体称“iCloud被黑客入侵”是因为发布照片的用户说“我是从iCloud得到的”，苹果很快发布了一份声明，称“我们目前正在调查此事，目前尚不清楚iCloud是否真的被黑客入侵。”

另一方面，IT相关新闻的The Next Web指出，苹果的在线服务“查找我的iPhone”中可能存在漏洞的暴力攻击”。 事实上，The Next Web证实在照片泄露的前一天，“Apple ID密码暴力攻击的概念验证代码” 被上传到GitHub（全球最大的开源代码平台）。

最初流出照片的网站 4chan，发布照片的用户发布照片的同时，出于炫耀目的，他还发布了保存在电脑上文件夹的屏幕截图。由于发布的屏幕截图里包含了，可以识别用户的HDD和网络驱动器的内容，从而大家知道了该用户的账号名为reddit，于是通过搜索该用户过去的发帖和照片，确定了真实的电脑名称和真实姓名。

通常这种精确的定点网络攻击，必须知道攻击目标的Apple ID的用户名，然后才可以对其开始密码的暴力破解。定点攻击通常技术要求非常高，那么这个黑客是如何做到的呢？后来犯罪嫌疑人瑞安·柯林斯承认，两年来，他一直冒充苹果和谷歌，通过发送虚假的电子邮件进行钓鱼诈骗，他收集了 100 多个密码，包括这些好莱坞名人的。说白了就是通过诈骗才入侵成功的。

逮捕

2016 年 3 月 36 岁的宾夕法尼亚州兰开斯特市男子，瑞安·柯林斯（Ryan Collins）被捕，被指控入侵“至少50个iCloud帐户和72个Gmail帐户”，柯林斯面临最高五年的监禁，但作为认罪协议的一部分，检察官提议将刑期改判为较轻的 18 个月。

瑞安·柯林斯（Ryan Collins）

结语

英国报纸《卫报》发文，“像苹果这样的大公司已经采用了先进的安全系统，iCloud本身不太可能被黑客入侵，而这次泄漏是基于网络钓鱼攻击，才导致受害者帐户的电子邮件密码泄露。”。换句话说，他们获得账号密码的手段，是类似于传统的诈骗方法，而并非使用了高深的计算机网络知识。

这些人正在做的，是提醒各位女性朋友，也请屏幕前的各位多多传播。只要是女性，无论她们是谁，他们永远是脆弱的，远离想要你裸照的人。

人们总是容易忘记伤痛。仅过了三年，2017 年好莱坞女星阿曼达赛佛瑞(Amanda Seyfried)、英国女星艾玛沃特森(Emma Watson)，还有奥斯卡影帝西恩潘(Sean Penn)的女儿黛伦潘(Dylan Penn)等大批女星又相继中招，私密照片遭到外泄。

随着AI的兴起，现在包括语音、视频都不能相信，即便收到了你的至亲和你要钱的电话或者视频通话，都要打回去再确认一下。诈骗分子连手机的基站都可以仿制一个出来，更别提AI加持下的换脸、换声了。

同时大家要提高警惕，不要相信任何来历不明的短信消息，任何的网站都不会向您询问您的账号、密码的。（如果他们想知道的话，根本不需要问你）

记得有人说过，苹果系统比安卓系统要安全很多！请记住这说法只是营销手段！不管苹果还是安卓，只要是人开发的产品就都有漏洞。

为了您和家人的幸福，请多多转发、扩散。