事件:
蘋果iPad風光上市,日前卻傳出資安公司找到AT&T的網站設計瑕疵,
導致iPad用戶電子郵件資料外洩,引起大眾一陣嘩然。然而新聞焦點並未隨事件公佈而落幕,根據PC magazine報導,AT&T隨後發表道歉聲明,同時指責駭客是利用一項為了讓用戶方便登入系統的功能而複製走用戶的電子郵件,除了郵件地址外,駭客並未入侵AT&T系統或存取其他任何資料。然而資安公司也反擊,AT&T試圖詆毀他們,但他們公布是為了通知大眾並讓AT&T知道問題所在後能立即修補。雙方你來我往戶嗆。
隨後,Goatse Security繼續公佈iPad漏洞,指出iPad的瀏覽器Safari存在安全漏洞,只要使用者點選惡意連結,就可能讓有心人士存取iPad資料。
討論:
此一事件看出業者的危機處理表現,也看出企業經營者的氣度。AT&T對資安公司態度強硬,但有立即修補系統問題也通知客戶並提醒注意可能的郵件攻擊。資安公司之所以對媒體公佈是希望藉此迫使AT&T盡速處理問題,否則根據過往經驗,被揭露問題的一方,面對此類漏洞往往不當一回事。其實,面對此類爆料,如果業者能換個心態,並積極解決問題,未嘗不能化危機為轉機,甚至建立負責任的形象。
資安直擊專家看法。