苹果的iCloud云服务由于众多好莱坞女星的艳照遭泄事件而备受关注,这也让外界产生了对以iPhone为代表的智能手机安全性的质疑。尽管苹果公司已经就此事开始进行调查,但该事件对当事人的名誉伤害已经构成,所以苹果可能会因此遭到好莱坞女星的起诉。
《连线》杂志网络版日前发文认为,如果苹果因为“艳照事件”而遭到起诉,进而提升相关服务的安全度,那么普通用户无疑将会从中受益。以下是文章的主要内容。
对于发生在近期的好莱坞女星艳照遭泄事件,美国联邦贸易委员会(FTC)下属的消费者保护局(Bureau of Consumer Protection)前任局长、乔治城大学法学教授大卫·弗拉杰克(David Vladeck)认为,苹果可能会因此遭到涉事好莱坞女星的起诉。他表示,尽管此前类似案件获得胜诉的概率很低,但这至少能够引起包括苹果和其他网络服务供应商对用户私密信息安全的重视,从而采取对应的措施来提升服务的安全度。
据称此次有数十位好莱坞女星的艳照遭到外泄,其中包括詹妮弗·劳伦斯(Jennifer Lawrence),克尔斯滕·邓斯特(Kirsten Dunst)和凯特·厄普顿(Kate Upton)等知名女星。虽然苹果随后就此事进行了紧急调查,但其在声明中并未谈及过多关于iCloud服务遭到攻击的信息,只是表示“某些名人的苹果账号受到了针对性攻击,攻击范围包括用户名,密码等方面,这种类似的攻击在互联网中十分普遍”,同时还指出没有迹象表明其iCloud和“查找我的iPhone”等系统已被破坏。不管苹果对其持何态度,有专家认为用户信息遭到黑客攻击的这一事实将会在法庭上引起有关监管部门的重视。
一般情况下,美国的科技公司很少由于数据泄漏事件而遭到法律制裁,与欧盟不同,美国并没有针对科技公司的安全度制定相应的法律,所以自然也就没有监管机构对其进行管理。此外,科技公司往往会通过《隐私条款》和《最终用户许可协议》把责任推卸得一干二净,从而让法院很难将由于数据泄露而造成的损失归咎在公司头上。
不过弗拉杰克和其他专家认为,如果此类案件频频发生,那么将会引起监管机构和法院的注意,进而也将会意识到消费者在此类案件中实际上是处于弱势地位的。所以一旦苹果因为上述事件而被告上法庭,那么至少能够让科技公司认识到在面临类似事件时应表现出来的态度。在最近几年中,包括谷歌在内的多家公司都针对类似事件提升了用户信息的安全度,而苹果也应该有所改变。
“客观地讲,这是美国法律的一个盲区,科技公司通过让用户同意他们的《隐私条款》以及《最终用户许可协议》来保护自己,但这显然将用户置于一个十分不利的境地,”FTC的高级政策顾问安德烈·麦特维辛(Andrea Matwyshyn)分析称,“数据泄露事件正在让人们逐渐丧失对数字服务的信任,而这在未来有可能会对数字经济造成致命打击。”
麦特维辛指出,如果人们不再相信这些公司,那么甚至会威胁到整个互联网经济,正因为如此,她和多位专家认为目前已经到了不得不出台相关法律法规的时候了,因为只有这样才能让消费者和科技公司在信息安全方面达到一种相对平衡的状态,从而保证互联网经济的正常发展。
关于黑客攻击
如果想要弄明白数据是如何泄漏出去的,首先要弄清楚破解是如何发生的。在普通情况下,大部分人都认为黑客通常都是通过“暴力破解”来获取受害者的用户名和密码等信息的,比如使用破解器对密码进行不断猜测和尝试,或者通过回答安全问题的答案来对用户密码进行重置等。
同时,《连线》杂志的安迪·格林伯格(Andy Greenberg)近日指出,在某些情况下,黑客还会通过冒充受害者的身份来非法入侵他们的手机并下载隐私数据。
这也就意味着,与企业的服务器被攻破不同,苹果在此案中被监管部门问责的主要方面应该就是iCloud用户界面的合理性或者苹果是否在用户登陆账户时提醒其采取合理的安全保护措施。举例来说,攻击者可能是通过不停地尝试登录账户而试探出了名人的密码,因为iCloud之前在尝试输入密码的次数上并没有限制。另一个问题则是苹果是否真的针对用户账户提供了双因素身份验证功能。
“苹果对此的解释可能会是‘对于第三方获得用户认证文件的情况我们是不负责的’,但实际上这些认证文件正是由苹果设计的,”美国印第安纳大学伯明顿分校的信息安全法律教授弗雷德·凯特(Fred Cate)说道,如果从这个角度入手,无疑将会鼓励那些密码保护意识不足的用户对苹果提起诉讼。
在弗拉杰克看来,考虑到此次艳照泄漏事件的受害者都是一些比较有名气且有财力的明星,所以她们完全有可能对苹果发起诉讼,不过最终她们是否能够胜诉,都将会让整个社会重视信息安全问题。凯特也表示迄今为止在类似案件中受害者还并未获得过胜诉,但他相信如果好莱坞女星们此次高调发起诉讼,无疑将会改变监管机构对此类案件的态度,并推动相关法律的尽快出台。
法院将作何改变?
在此类案件中,将会出现的一个问题是受害者能否接受当初自己亲手填写的关于苹果将不承担任何风险责任的《隐私条款》。“苹果将会声称当初我们在注册账户时在《隐私条款》上选择了‘同意’,但是要知道那些密密麻麻的条款都是苹果的律师们处心积虑编写出来的,同时字体还那么小,如果我们图一时方便而选择了统一,那么就意味着苹果未来不会为信息泄漏承担任何责任,”FTC的高级政策顾问麦特维辛说道,尽管类似的条款在过去能够起到保护企业的作用,但是如今已经有越来越多的法院开始对它们进行重新评估,其中包括合同条款中的具体措辞以及相应的解释。
另一种可能的结果是,不管苹果将来是否会针对用户账户提供更为合理的安全措施,FTC都会根据所泄漏数据的敏感性和危险度来对其进行调查。接下来的问题将会是黑客在发起攻击时所利用是是不是一个已知的且未被修复的漏洞。“不幸的是,这种调查目前在美国的科技企业中还难以实施,”麦特维辛说道,“这些都是FTC在执法过程中所遇到的比较棘手的难问题。”
事实上,“暴力破解”已经被认为是科技行业中的一个已知危险。2009年,Twitter也曾经遭遇过类似的黑客攻击,而苹果更是在其声明中将此称之为是互联网世界里“非常常见”的行为。不管FTC将来能够获得证据表明苹果并未对已知威胁做出应有的反应,其都不会受到重罚,而那些无辜的受害者最终都难以获得对应的补偿。
苹果的“第二十二条军规”
综上所述,苹果目前并未因这件事而面临极大的风险。苹果的《隐私条款》可能会说明其在刻意推卸可能会产生的责任,但苹果也完全可以辩解称当用户将自己的数据提供给第三方时,也并不意味着用户就完全放弃了保护这些数据的责任,所以如果受害者没有采用比较复杂的账号密码,那么苹果就会认为造成数据泄露的主因是受害者过于疏忽。
根据凯特的分析,苹果还有可能会争辩称如果在用户登录账号时采用更为严格的验证措施,那么将会对其业务产生不利影响,因为过高的安全措施将会让大多普通消费者感到厌烦。“如果企业提高了安全门槛,用户就会有所反感,”凯特说道,“这就像是《第二十二条军规》中所描述的那种情况一样让企业置于两难的境地,泄漏了隐私数据,用户会不爽,而一旦提高了安全保密程度,用户仍然会不爽。”
专家普遍认为,鉴于美国地区不断出现的网络安全事件,已经到了非常有必要出台相关的法律法规的时候了。当然,由于科技产业的发展速度比较快,立法部门可能会担心这些法律在出台的时候可能已经过时了,对此麦特维辛指出,立法部门可以先制定出能够保障用户和企业基本权益的法律,然后再根据具体情况有所调整即可。“这就如同你的房东不能在冬天关掉你的暖气一样,不管租房合同的条款有哪些,这都是你的基本权益,”麦特维辛说道,“而对于如今的消费者而言,数据安全就像是冬天里的暖气一样弥足重要。”