为什么 Apple 开发者网站关闭是件好事?
作者:趋势科技
Apple 的开发者中心网站在 7 月 18 日因为安全漏洞或攻击而关闭。在他们的通知里,Apple 公司表示,这起安全事件可能导致开发商的姓名、通讯地址和电子邮件地址被盗取,虽然该公司清楚地表明,敏感的个人资料都是加密过的,无法被访问。
Apple 是有名的不愿谈论它的安全问题,就以这次问题为例,前三天都只声称该网站关闭是因为“维护问题”。但是到了周日,Apple 发表了对这次网站关闭的解释以及数据外泄的范围。另一篇并没有得到太多关注的公告是说明他们现在为此做些什么:
为了防止这样的安全威胁再次发生,我们全面检查了我们的开发系统,更新了我们的服务器软件,并且重建了整个数据库。
换句话说,Apple 公司已经决定接受长时间服务关闭的风险,好通过重建来彻底解决安全风险、威胁和安全漏洞。借用异形里蕾普莉所说的名言,Apple 决定要将原系统彻底炸掉,因为“这是唯一可以彻底解决的办法”。
这几乎是前所未有,全面性的响应,特别是在还不确定是否真有外泄事件时。一名来自英国的安全研究人员 – Ibrahim Balic 声称他发现了该网站的漏洞,通知 Apple,之后他们关闭了网站。他还声称,他没有入侵该系统或访问数据。不管是否有外泄事件出现,这次事件里数据外泄(或可能外泄)的范围都是有限度的。而这也是为什么 Apple 的响应非常可圈可点。以前也有类似的例子,有公司可以接受长时间关站,并做出正确的处理措施,完全重建,那就是 Sony 在 2011 年针对 PlayStation Network 被入侵的回应。Sony 在那次事件里将网站关闭了 25 天。但在那起案例中有明确的外泄事件发生,1.2 万张信用卡信息被盗。
Sony 表示,那起外泄事件为他们造成至少 1.71 亿美元的损失。这损失很大一部分是因为关闭网站重建系统。尽管如此,Sony 做了正确的事情,关闭整个网站,而以后也再没有入侵外泄事件发生。可惜的是,Sony 并不会因此获得称赞,尽管这是他们应得的。
所以 Apple 的安全团队也应该得到称赞,因为他们做了和 Sony 一样的事,并不只是在整个混乱的架构下修补一个漏洞,而是花时间来重建系统,让系统更加安全。如果我们有更多企业用这方式来应对入侵外泄事件,我们(技术、隐私、安全和网络威胁)产业将会变得更好。
@原文出处:Why Taking the Apple Developer Sites Down was a Good Thing
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!