Skip to main content

无论苹果员工有没有窃取用户信息,这件事都给我们提了个醒


微博上有一件非常值得关注的事情:有个用户发长微博说自己因为和苹果官方的技术顾问发生口角,而被对方“利用职务之便”非法入侵iCloud账户。



对方还威胁说会把他的个人信息和资料往外发,同时通过系统禁用他的设备,“苹果设备包括手机和电脑就别想用了,不敢说让我生不如死,但肯定会给我生活和工作上带来不便”。

长微博里还附上了据说是苹果客服恐吓电话的录音。电话里客服的声音温和,语气里有一种一听就知道是长期职业习惯所训练出来的客气,但这种温和客气背后却透露出掩饰不住的恶意和气急败坏,情急之中还蹦出了一句粗话。

这一切的反差形成了一种非常惊悚的戏剧性效果,让人在荒谬之中感到不寒而栗。

按照这个用户的说法,事后在他的投诉之下,苹果开除了那名员工,但苹果拒绝透露那名员工的个人信息,也拒绝说明那名员工是如何得到他的个人资料的。

从常理分析,疑点还是挺多的。

第一,发布这条长微博的微博看起来是一个长期处于半休眠状态的小号,总共只发过23条微博,而且在这条长微博之前所有的微博都是转发,去年一整年更是只有一条转发微博。

第二,苹果对iCloud的登录设置了一个“双重认证”的安全机制,如果是在一部新设备上登录iCloud账户,除了输入密码以外还需要输入一个显示在旧设备上的验证码,所以外人即使获知了密码,也是无法登录进iCloud账户的。

第三,那名员工的所作所为和所说的话,如果属实,无异于是对苹果发起的一场自杀式袭击。到底是什么样的深仇大恨,让他不惜冒着丢掉一份好工作的风险也要对一个原本不认识的顾客去发泄怒气?这似乎不是正常人所能做出的事。

但另一方面,这些疑点本身也是可以反驳的:

第一,很多人本来就不太用微博,所以用一个半休眠状态的小号发文也不稀奇;

第二,普通人的确不太好登录别人的iCloud账号,但我们并不知道苹果员工是不是有权限能够看到用户的个人信息;

第三,如果说这件事是捏造的,那这么做的动机又是什么呢?以苹果法务团队的风格,一定不会对搞事的人善罢甘休。为什么要冒着这么大的法律风险,去给苹果下这么大一个套?同样匪夷所思。

目前苹果官方还没有对这件事做出表态,所以整件事的真实性还有待查证,我们也不必急着下结论。我搜了一下,外媒还没有关注到这件事,甚至很有可能苹果的美国总部都还不知道。相信在未来几天,这件事应该还会继续发酵。




但不管事情真相如何,看到那篇微博文章的时候,我是吓出了一身冷汗,因为我猛然之间意识到,原来我的iCloud上存了那么多的东西:

通讯录里有几千个朋友非朋友的电话;日历里有我这十几年的重要日程;

地图里有我去过的每一个地方的记录;

“照片”APP里有我拍过的所有两万多张照片,其中当然有一些不想被外人看到的东西;

还有我一直有用备忘录记录的习惯,平时脑子里偶然蹦出来的文章灵感,各个地方看到的也许将来可以使用的资料,还有我不想遗忘的重要信息,我都会随手在备忘录里记下来。

毫不夸张地说,所有这些信息加在一起,几乎就是我一大半的人生。而我的人生,就这样躺在云端。

以前我没有想过这个问题的严重性,但现在我开始有了一些不放心。我的iCloud账号是十年前在美国注册的,所有资料都存在美国的服务器里,但这并不能减轻我的担忧。

苹果的iCloud确实好用,好用到我已经对它产生了重度依赖。我有两部手机,两台电脑,通过iCloud同步之后,我用其中任何一台设备拍的照片、存的图、做的记录、打开的网页,几乎实时就能在其他所有设备上看到。

乔布斯给苹果设计了这么一个无比强大的云系统,牢牢地绑住了用户,苹果最牛逼的不是它的手机有多好,而是围绕iCloud所构建的这么一个生态。虽然我几次动过换用Google的Pixel手机的念头,但最后还是因为太依赖iCloud而放弃了。

可是,所有的技术都是双刃剑。不管苹果如何强调他们有多么多么重视用户的隐私安全,但是万一呢?




我曾经是一个重度的果粉,但我现在对这家公司的信任度非常低,毕竟他们过去这几年做的很多事情实在让人寒心——比如前不久刚刚爆出的电池降频门。

再伟大、再有情怀的公司,他们的终极目的也都是为了赚钱。在适当的外界诱因之下,他们完全有可能为了商业利益而做出让人不齿的举动。不光苹果如此,号称要把人类送上火箭的马斯克和号称永远不作恶的Google同样也可能如此。

这样的例子在历史上实在是太多了。比如我曾经写过的杜邦,虽然明知有毒物质PFOA的潜在危害,但仍然欺上瞒下,在几十年的时间里把数十万镑的PFOA粉末随意排进俄亥俄河,污染了三个城市的自来水系统,严重影响了当地居民的身体健康。

再比如福特。亨利·福特大幅降低汽车的生产成本,把汽车从当初只有少数人才买得起的奢侈品变成每一个普通人都能买得起的普通产品,从而成就了福特这家伟大的公司。

但是福特后来也出过一个非常著名的“平托丑闻”。七十年代,他们的一款新车型平托(Pinto)被发现存在油箱设计问题,一旦被追尾,很容易造成油箱爆裂,从而引发更严重的爆炸事故。

在其中一起事故的诉讼中,律师发现福特在这款车型推出前就已经明确知道了这个安全隐患。其实要解决这个隐患也很简单,只要安装防震的保护装置即可,但福特经过计算——或者说算计——之后,决定不安装保护装置。

他们的帐是这样算的:

给每辆车加装保护装置,要增加的成本是11美元,以当时的产量计算,总共要增加1.38亿美元的成本;

再按照事故的最大发生率来计算,估计总共会有180个车主会因此死亡,每个死者按惯例须赔偿20万美元,另有180个车主烧伤,每个烧伤者需赔偿6.7万美元,这些费用相加最多不超过5000万美元。

在1.38亿和5000万美元之间,在180条人命180个伤者和省下来的8800万美元之间,福特最终决定不加装保护装置。在法庭上,这个事实激怒了陪审团,最终对福特作出了1.25亿美元惩罚性赔偿的判决。

所以,最后总结一下,不管事情的真相如何,我觉得都有必要给我们提两个醒:

第一,不要养成对技术的依赖。

第二,对于那些改变了世界的伟大公司,可以赞美,但不要无条件地信任。

Comments

Popular posts from this blog

CKA Simulator Kubernetes 1.22

  https://killer.sh Pre Setup Once you've gained access to your terminal it might be wise to spend ~1 minute to setup your environment. You could set these: alias k = kubectl                         # will already be pre-configured export do = "--dry-run=client -o yaml"     # k get pod x $do export now = "--force --grace-period 0"   # k delete pod x $now Vim To make vim use 2 spaces for a tab edit ~/.vimrc to contain: set tabstop=2 set expandtab set shiftwidth=2 More setup suggestions are in the tips section .     Question 1 | Contexts Task weight: 1%   You have access to multiple clusters from your main terminal through kubectl contexts. Write all those context names into /opt/course/1/contexts . Next write a command to display the current context into /opt/course/1/context_default_kubectl.sh , the command should use kubectl . Finally write a second command doing the same thing into ...

OWASP Top 10 Threats and Mitigations Exam - Single Select

Last updated 4 Aug 11 Course Title: OWASP Top 10 Threats and Mitigation Exam Questions - Single Select 1) Which of the following consequences is most likely to occur due to an injection attack? Spoofing Cross-site request forgery Denial of service   Correct Insecure direct object references 2) Your application is created using a language that does not support a clear distinction between code and data. Which vulnerability is most likely to occur in your application? Injection   Correct Insecure direct object references Failure to restrict URL access Insufficient transport layer protection 3) Which of the following scenarios is most likely to cause an injection attack? Unvalidated input is embedded in an instruction stream.   Correct Unvalidated input can be distinguished from valid instructions. A Web application does not validate a client’s access to a resource. A Web action performs an operation on behalf of the user without checkin...