为什么 Apple 开发者网站关闭是件好事？

作者：趋势科技

Apple 的开发者中心网站在 7 月 18 日因为安全漏洞或攻击而关闭。在他们的通知里，Apple 公司表示，这起安全事件可能导致开发商的姓名、通讯地址和电子邮件地址被盗取，虽然该公司清楚地表明，敏感的个人资料都是加密过的，无法被访问。

Apple 是有名的不愿谈论它的安全问题，就以这次问题为例，前三天都只声称该网站关闭是因为“维护问题”。但是到了周日，Apple 发表了对这次网站关闭的解释以及数据外泄的范围。另一篇并没有得到太多关注的公告是说明他们现在为此做些什么：

为了防止这样的安全威胁再次发生，我们全面检查了我们的开发系统，更新了我们的服务器软件，并且重建了整个数据库。

换句话说，Apple 公司已经决定接受长时间服务关闭的风险，好通过重建来彻底解决安全风险、威胁和安全漏洞。借用异形里蕾普莉所说的名言，Apple 决定要将原系统彻底炸掉，因为“这是唯一可以彻底解决的办法”。

这几乎是前所未有，全面性的响应，特别是在还不确定是否真有外泄事件时。一名来自英国的安全研究人员 – Ibrahim Balic 声称他发现了该网站的漏洞，通知 Apple，之后他们关闭了网站。他还声称，他没有入侵该系统或访问数据。不管是否有外泄事件出现，这次事件里数据外泄（或可能外泄）的范围都是有限度的。而这也是为什么 Apple 的响应非常可圈可点。以前也有类似的例子，有公司可以接受长时间关站，并做出正确的处理措施，完全重建，那就是 Sony 在 2011 年针对 PlayStation Network 被入侵的回应。Sony 在那次事件里将网站关闭了 25 天。但在那起案例中有明确的外泄事件发生，1.2 万张信用卡信息被盗。

Sony 表示，那起外泄事件为他们造成至少 1.71 亿美元的损失。这损失很大一部分是因为关闭网站重建系统。尽管如此，Sony 做了正确的事情，关闭整个网站，而以后也再没有入侵外泄事件发生。可惜的是，Sony 并不会因此获得称赞，尽管这是他们应得的。

所以 Apple 的安全团队也应该得到称赞，因为他们做了和 Sony 一样的事，并不只是在整个混乱的架构下修补一个漏洞，而是花时间来重建系统，让系统更加安全。如果我们有更多企业用这方式来应对入侵外泄事件，我们（技术、隐私、安全和网络威胁）产业将会变得更好。

＠原文出处：Why Taking the Apple Developer Sites Down was a Good Thing

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！