英文原文:Why Taking the Apple Developer Sites Down was a Good Thing
苹果公司决定“炸掉”开发者网站,通过重建来解决安全问题的“休克式疗法”会带来巨大的经济损失,但这绝对是个正确的决定。
苹果开发者中心在 7 月 18 日因为安全漏洞或攻击而关闭,截至发稿也没有完全恢复。苹果公司在声明中表示,这起安全事件可能导致 27.5 万苹果开发者的姓名、通讯地址和电子邮件地址等信息泄漏,但苹果公司强调敏感的个人资料都经过加密,无法被访问。(编者按:土耳其安全专家 Ibrahim Balic 声称对攻击负责,并在 Youtube 上发布视频公布苹果开发者网站的跨站脚本 XSS 安全漏洞)
苹果公司在安全问题上是出了名的守口如瓶,以这次安全事故为例,事发后三天苹果对外宣称网站关闭是因为“维护问题”。直到了当周末,苹果才发表了对这次网站关闭的解释以及数据外泄的范围。另一篇并没有得到太多关注的公告是说明他们现在为此做些什么:
为了防止这样的安全威胁再次发生,我们已经全面的审查我们的开发系统,更新我们的服务器软件,并且重建了整个数据库。
换而言之,苹果公司已经决定接受长时间关闭网络服务的巨大损失,好通过完整的重建来彻底解决安全风险、威胁和安全漏洞。套句电影《异形》女主角蕾普莉的名言:苹果决定将开发者网站整个炸掉,因为“这是唯一可以彻底解决的办法。”
这几乎是前所未有,全面性的响应,特别是在还不确定是否真有外泄事件时。一名来自英国的安全研究人员 – Ibrahim Balic 声称他发现了该网站的漏洞,通知苹果公司,之后他们关闭了网站。他还声称,他没有入侵该系统或存取数据。不管是否有外泄事件出现,这次事件里资料外泄的范围(或可能外泄)是有限的,而这也是为什么苹果“壮士断腕”式的做法是值得赞赏的。要知道,没有多少公司可以接受长时间关站来做正确的事和重建(编者按:除非该站需要在工信部备案),另外一起可参考的事件是索尼在 2011 年针对 PlayStation Network 被入侵的回应,在那次事件里索尼关站了 25 天。但在索尼 PSN 安全事故中,有明确的数据外泄发生——7700 万用户数据泄漏,包括 1.2 万张用户信用卡资料。
索尼公司表示,那起外泄事件造成他们至少一亿七千一百万美元的损失,很大一部分是因为关站来重建系统。尽管如此,索尼做了正确的事情去接受关站的决定,此后也没有入侵外泄事件发生。可惜的是 Sony 并不会因此获得称赞,他们应该要有的。
所以 Apple 的安全团队也应该得到称赞,因为他们做了和 Sony 一样的事情,并不只是在整个混乱的架构下修补一个漏洞,而是花时间来重建系统,让系统更加安全。如果我们有更多的企业用这方式来应对入侵外泄事件,我们(技术、隐私、安全和网络威胁)产业将会变得更好。
相关文章
