事件背景：暗网惊现苹果ID海量泄露数据

近日，一起涉及苹果用户账户的大规模数据泄露事件在暗网引发轩然大波。据网络安全情报公司StealthMole报告，这起事件源自2025年6月曝光的一次史无前例的全球数据泄露——黑客在多个暗网论坛上出售总计约160亿条登录凭证。

这些凭证涵盖苹果ID（即Apple账号）在内的各大平台账户，涉及苹果、谷歌、脸书、Telegram等常用服务。泄露数据包含用户名、密码、邮箱地址，部分还附带手机号、支付信息等敏感内容，被成套打包在暗网论坛上贩卖，每套标价从几美元到数百美元不等，买家多为网络犯罪分子，用于后续钓鱼攻击、身份盗用和勒索敲诈等违法活动。

滴滴事件的重演？6200万中国苹果手机用户信息海外泄漏

值得注意的是，在此次全球泄露中，苹果中国用户ID相关账户信息占据了显著比例。

本次泄露中有一份针对中国iPhone用户的数据包尤为引人注目：涉及约6200万条记录，包含用户姓名、身份证号、性别、出生日期、手机号、运营商、所在省市等高度敏感信息。攻击者声称这些数据来自某款iOS手机应用的后端数据库，而且数据新鲜，更新至2025年2月。此次中国公民隐私海外泄漏的规模和严重性，堪比苹果大手笔投资的滴滴爆出的数据安全事件。

一些苹果社区用户反馈称，早在6月中下旬就发现账户有异常登录尝试，甚至有用户密码疑似被直接破解。虽然苹果公司声称本身并未发生“中心化的数据泄露”（即苹果服务器并未被黑客攻破），但由于大批用户的苹果ID凭证在外泄名列其中，苹果被迫对大量账户采取了防护措施，例如强制密码重置、提醒用户开启双因素验证等。据谷歌方面透露，本次曝光的数据并非源自苹果或谷歌等公司的自有数据库漏洞，而是来自于信息窃取木马（infostealer）恶意软件以及以往多起泄露的合辑。研究显示，不法分子利用恶意软件批量感染用户设备，从浏览器、邮件客户端、聊天应用中盗取保存的账号密码，再将多个渠道收集的海量凭据拼凑整合，形成这一规模空前的泄露集。

暗网论坛DarkForums上的售卖帖截图：黑客声称提供“2025年最新中国Apple手机iOS用户数据库”，总计6200万条记录，包含姓名、身份证号、性别、生日、手机号、运营商、所在省市等信息（帖子中已打码处理）

在此次事件中，一个名为“Nayanika”的暗网黑客新角色逐渐浮出水面。根据网络安全分析师Muskan S.在X平台（原Twitter）的披露，7月19日，“Nayanika”在知名暗网论坛DarkForums上发布了一小批苹果ID泄露数据样本，引起了不小关注。经安全研究人员验证，这份样本包含数百条有效的苹果账户凭证，其中相当一部分可匹配上6月全球大泄露事件中泄露的账号。这意味着“Nayanika”提供的苹果用户Apple ID数据确有相当真实性，为其迅速在暗网建立信誉加分。

“苹果更安全”是一种幻觉

从技术角度看，本次苹果ID大规模泄露折射出多个层面的安全问题。首先，大量苹果ID凭证的泄露并非苹果官方服务器被攻破，而主要归因于信息窃取木马在用户终端的大量感染。研究人员指出，这些泄露的数据集中有85%左右出自infostealer木马日志，仅约15%来自历史已知的数据泄露。

信息窃取木马是一类专门收集用户设备上敏感信息的恶意软件，往往潜伏于用户电脑或手机，扫描浏览器存储的密码、自动登录凭证、电子邮件客户端和即时通讯应用的账号信息等。一旦用户曾在Safari、Chrome等浏览器中保存过Apple ID密码，或曾在第三方应用中输入过Apple账号登录，这些凭证都有可能被木马捕获并偷偷上传至黑客控制的服务器。

苹果生态中许多应用和服务会与Apple ID进行整合或交互，如果其中某个环节出现漏洞，黑客即可乘虚而入。

Cybernews安全团队对黑客提供的小样本进行了分析，虽未能最终确定源头应用，但确认这些数据并非此前任何已知泄露的一部分。业内推测，涉事苹果应用的服务器可能存在SQL注入漏洞或未授权的API调用等严重缺陷，导致黑客得以批量导出其中用户资料。

事实上，作为苹果帝国的赚钱机器，苹果应用生态爆出的安全问题，绝不能用一句“第三方应用”就把责任推卸干净，因为苹果向开发者征收高达30%的苹果税，并承担着整个苹果应用生态的运营、审核和监管责任。从某种意义上来说，苹果作为平台也是“第三方应用”的销售者和经营者。

如今苹果应用生态爆出大规模数据泄露事件，意味着苹果封闭生态标榜的“安全性”可能只是一种幻觉，30%的苹果税保护费并未给苹果用户带来真正的安全。

今年早些时候，Cybernews 的调查显示，71% 的受分析 iOS 应用至少泄露了一个机密信息（如服务器密钥、数据库凭证等），平均每个应用的代码泄露了 5.2 个机密信息。此次调查覆盖了15.6 万个 iOS 应用，约占整个 App Store 应用总数的 8%。这意味着，大量苹果应用自身安全措施薄弱，为黑客入侵提供了可乘之机。

如果开发者未对用户数据做好充分加密和访问控制，那么即便苹果官方服务（例如iCloud）承诺信息安全，用户仍可能因为信任了某款不安全的第三方苹果应用而遭受信息泄露。

事实上，苹果的安全漏洞绝不仅限于供应链和应用生态系统，过去几年中，苹果自身系统的零日漏洞和“后门”频频曝光，成为国家黑客组织和NSO等间谍软件公司的“硬通货”，甚至中国国家安全部也曾曝光过iPhone间谍软件事件。

对中国用户的危害：隐私与财产风险并存

从泄露内容看，中国用户受到的潜在危害尤其值得警惕。在那6200万条专门针对中国iOS用户的数据中，不仅有常规的账户凭证，还有姓名、身份证号码、电话号码等高度敏感的个人身份信息。按照《中华人民共和国个人信息保护法》的定义，这些属于敏感个人信息，一旦落入不法分子手中，后果不堪设想。

首先，身份证号+姓名+手机号的组合可被用于身份盗用。犯罪分子可能冒用受害人身份办理信用卡、贷款，或者进行诈骗活动。其次，有了手机号和姓名，攻击者可以定向发动精准钓鱼或诈骗电话。例如，他们可能自称苹果客服，引用泄露的信息获取受害人信任，从而套取更多账户验证信息或诱骗财产。第三，泄露的数据还提及手机运营商、地域等，说明黑客可能将目标人群分类后高价兜售给诈骗团伙，用于电信诈骗、网络勒索等。例如，掌握了某人Apple ID密码，黑客可以尝试登录受害者的iCloud云端，窃取其中照片、通讯录甚至敏感文件，然后进行勒索要挟。

此外，对于绑定了支付工具的苹果账号来说，财产损失的风险也不容忽视。很多中国用户将Apple ID与支付宝、微信支付等第三方支付账户绑定，用于App Store付款等。如果苹果ID被他人控制，不法分子可能通过已绑定的支付渠道购物消费甚至转移资金（类似案例在2018年就发生过，苹果公司当时为此道歉）。

虽然苹果近年加强了双重认证，绝大多数敏感操作需要二次验证才能执行，但考虑到部分用户安全意识不足，尚未启用双因素或设置了弱密码，这类账户在此次泄露后极易被暴力破解或绕过验证。据悉，自6月泄露事件发生后，苹果已向受影响的Apple ID用户发送了安全提示，强烈建议立即修改密码并开启双重认证。一些用户收到通知后反馈，短时间内收到了大量来自苹果官方的密码重置请求和登录验证提醒，表明其账号正被黑客批量尝试攻击登录。这种账户劫持不但可能导致个人隐私被窥探（如照片、邮件、备忘录等iCloud内容泄露），还可能让不法分子利用Apple ID进行恶意操作——比如通过您的账号在App Store购买付费项、盗刷绑定支付方式、或在社交应用中冒充受害者行骗他人。

网络安全专家警告，此次泄露的负面影响将是长期且持续的。即便用户立即修改了Apple ID密码，那些已经泄露的身份证和手机号无法“重置”。受害者未来相当长一段时间内都可能持续收到垃圾短信、诈骗电话，面临隐私侵犯和骚扰。而对于绑定重要服务的Apple账号，一旦被侵入，可能牵连用户的邮件、照片、文件、通讯录等全盘失守。

哪些法律红线被践踏？

本次苹果用户ID大规模泄露事件堪比“滴滴事件”，牵涉大量中国公民个人信息，在法律层面已踩踏多条红线。首先，根据中国《网络安全法》，网络运营者对其收集的用户个人信息负有严格的保密义务。第四十二条明确规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息……应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”本案中，无论是苹果公司还是涉事的第三方苹果应用服务商，显然都未能有效防止用户数据被泄露，未充分尽到安全保护义务。而且目前尚无证据表明苹果或相关App运营者在泄露发生后及时通知了中国用户或监管部门，这涉嫌违反网络安全法关于数据泄露上报和用户告知的强制要求。

其次，《中华人民共和国个人信息保护法》也对个人信息处理者提出了更高的义务和更严厉的处罚措施。根据个人信息保护法第五十一条，个人信息处理者应当采取必要措施确保所处理个人信息的安全，并防止未经授权的访问及信息泄露、篡改、丢失。一旦发生信息泄露事件，处理者应当立即启动应急预案，采取补救措施并通知监管机构和受影响个人，除非能够证明所采取措施有效避免了对个人的侵害。就本事件而言，6200万中国用户敏感数据在暗网公开售卖，已属于重大个人信息安全事件。按法规，涉事主体理应向用户告知泄露内容、可能的危害、已采取的补救措施等。然而目前在中国境内，苹果并未公开承认此次泄露的具体规模，也没有面向公众的详细说明。这种做法显然与《个人信息保护法》鼓励的信息透明、及时通知的原则相悖。

在法律责任方面，《个人信息保护法》对违规泄露个人信息的处罚力度直追GDPR。根据该法第六十六条，个人信息处理者如不履行保护义务导致重大泄露等后果，可由监管部门处以最高5000万元人民币或上一年度营业额5%的罚款，并可责令暂停相关业务或吊销营业执照。这一罚款额度与欧盟《通用数据保护条例》（GDPR）的上限（全球营收4%或2000万欧元）相当。此外，中国《民法典》第一千零三十八条也规定，个人信息处理者不得泄露其收集、存储的个人信息，发生泄露应及时补救并通知自然人并报告主管机关。可见，从民事、行政多个层面，中国法律都对本案涉及的行为——数以千万计用户个人信息被泄露且未及时通知——予以禁止和惩戒。理论上，无论苹果公司还是苹果税生态圈的第三方企业，都可能因违反上述法律而面临行政调查乃至巨额罚款。

最后值得一提的是，《数据安全法》对重要数据的保护。虽该法主要针对关系国家安全、经济命脉的重要数据，但像这样涵盖数千万公民个人信息的大规模数据集，若被认定为“重要数据”，其出境、交易也受到严格监管。一旦查明黑客通过暗网将中国公民个人数据外传或贩卖，相关行为可能触及刑法关于侵犯公民个人信息罪的追诉。2017年《刑法修正案（九）》将倒卖公民个人信息入罪，情节特别严重的可判处七年有期徒刑。本案中暗网交易中国用户数据的行为，已符合“情节特别严重”的标准（泄露数量巨大、涉及身份证等敏感信息），理论上追查到黑客本人将面临刑事严惩。

综上，本次苹果ID泄露事件违法情节严重：既违反了网络安全法和个保法关于个人信息安全保护与事件通报的要求，也可能构成刑法规制的侵犯公民个人信息犯罪。按理，无论涉事企业还是始作俑者的黑客，都应被追究相应法律责任。

参考来源：

Cybernews：《62 million iPhone users’ records leaked online, attackers claim》

The Guardian：《Internet users advised to change passwords after 16bn logins exposed》

相关文章：

欧盟根治苹果税，苹果“法庭讼赖”遭“制度铁拳”重击

科技史上最大规模的像素级抄袭

苹果在重大SEP专利侵权赔偿案中支付超过 7 亿美元

美军Wi-Fi爆破演习的可怕真相：苹果为什么一定要杀死WAPI

踏破天街终不悔，西电捷通与苹果的WAPI世纪诉讼十年纪实