澎湃新聞記者 周玲
近期有不少iPhone用戶反映,Apple ID被盜取,黑客利用Apple ID的免密支付功能,購買游戲幣等虛擬產品,給自己造成經濟損失,從幾百元上千元不等,甚至有人損失上萬元。
一位安全技術專家告訴澎湃新聞記者,自從蘋果推出免密支付,用戶被盜刷的現象就存在,不是今天才有這種現象。“最近8月、9月份以來反應的人比較多,我身邊也有人中招。”為此,這名安全技術專家建議用戶盡快開啟雙重認證,避免后續遭到攻擊。
所謂“免密支付”,指的是接入蘋果賬戶的支付方式“無需密碼”,或者是一定金額內“無需密碼”,黑客利用這一漏洞,通過網上購買虛擬產品進行變現。日前用戶反映較多是支付寶和微信支付被盜刷,其實信用卡和借記卡也同樣支持免密支付,也有被盜刷風險。
央視財經的報道提及,目前統計到的被盜刷人數,預計超過700人。而蘋果方面尚未對這波攻擊進行系統回應,目前蘋果蘋果客服給出的處理方案中,也并非對所有用戶進行退款。
上海大邦律師事務所高級合伙人游云庭在接受澎湃新聞記者采訪時稱,蘋果用戶被盜刷事件本身比較復雜,是誰的責任比較難判斷。
被質疑的“免密”支付
目前,蘋果已經向開通第三方支付的用戶,增加了支付寶、微信客戶端的免密支付安全驗證和短信驗證。
據央視財經報道,記者在蘋果手機“付款信息”中發現,開通支付寶支付功能的界面中出現了一份名為 《支付寶免密扣款授權的協議》,點擊協議后記者發現,該份協議由支付寶和蘋果用戶簽訂,并明確了:“支付寶只是被授權指令的執行方,除非支付寶沒有依照該特定第三方的指令進行操作,或者操作指令錯誤,否則支付寶不對本服務產生的損失和責任負責”。
記者在自己的支付寶賬戶設置中發現,已經簽約開通了蘋果應用商店的“免密支付”功能,而在設置“安全月限額”一欄中記者發現,限額被默認選擇了“無限額”,而不是其提供的“有限額”選項。
上述報道認為,“免密支付”必須同意,額度又默認“無限額”,如此的設置增加了用戶潛在的安全隱患。而此次蘋果用戶遭遇盜刷,用戶在向蘋果公司進行權益申訴時卻發現,默認同意的協議里并沒有蘋果公司應有的責任和義務。
有法律專家就指出,強制開通用戶的“免密支付”功能卻不與用戶直接簽署協議,如此的做法不僅侵犯了消費者的知情權和自由選擇權,也造成了用戶的維權難。
技術專家:黑客撞庫很容易得手,建議用戶開通雙重驗證
那么,為何近期盜刷會如此猖獗,為何黑客會容易得手?
“這些被盜刷用戶都是沒有采用雙重認證的,現在廠商都在逐步引導用戶做雙重認證,在我們安全圈,系統賬號的密碼是沒戲的,需要通過短信驗證碼、動態密碼生成器這種方式來二次驗證才能確保安全。”這位技術專家表示,近年頻繁出現數據庫泄露事件,很多用戶信息被泄露,成為黑客撞庫的資料源。
“在那個小圈子,有人專門整理這些資料用來牟利,有些用戶不同賬號都用相同的密碼登陸,你密碼被泄露后,黑客拿去撞庫,試你蘋果的賬戶,很容易中招,一旦成功了就會盜刷。”這位專家建議用戶,趕緊去開通雙重認證。
除了蘋果,其他手機企業也支持“免密支付”,但被盜刷案例較少。
這位技術專家表示,其他手機品牌自家支付用戶數量較少,用戶更多直接用支付寶、微信等第三方支付,所以被盜刷現象少。
對iPhone用戶來說打開“Apple Store” app,登陸Apple ID,打開“安全”欄進入雙重密碼認證設置。如果還不放心的話,把免密支付的額度降低,甚至把“付款信息”欄選擇“無”。
蘋果客服給出三種處理方案
被盜刷的iPhone用戶通過與蘋果客服溝通,進行退款申請,最終由蘋果決定是否給用戶退款。
從用戶反饋看,蘋果客服流程最終給出了三種處理方案。有用戶收到了全部盜刷款的賠付;有些的用戶是部分獲得賠付,有些刷單未通過;還有的很不幸,蘋果一分錢賠付都沒有。
據澎湃新聞記者了解,有關流程審核蘋果有一套技術機制,對用戶是否是被盜刷進行甄別,最終給出是否賠付的結論。也有蘋果客服回復用戶稱,他們也不知道原因,只是把公司內部流程處理結論告知用戶。
蘋果中國公司之前曾對外表態,將積極溝通處理,但截至目前蘋果中國未給出官方的處理方案。
支付寶方面之前則明確提示:監測到部分蘋果用戶的ID被盜,由此帶來相關ID綁定的支付工具遭到資金損失。支付寶表示,目前已經多次聯系蘋果公司并推動其盡快定位被盜原因,提升安全防范水平,并徹底解決用戶權益損失的問題,蘋果公司回復已經在積極解決。
上述安全專家也指出,有關用戶賬戶被盜刷蘋果在技術上應該做出更多調整,“國內的領先電商針對用戶異地登錄等異常行為都會做出提醒,但蘋果沒有,這方面蘋果應該向電商公司學習,這個可以規避很多風險。”
誰之過?誰擔責?
上海大邦律師事務所高級合伙人游云庭在接受澎湃新聞記者采訪時稱,蘋果用戶被盜刷事件本身是誰的責任比較難判斷。
“批量丟失有一種可能是蘋果公司有漏洞,導致用戶密碼丟失;還有一種可能性是,用戶在其他網站或者因為自己的系統有漏洞丟失了用戶名密碼,之后被黑客以撞庫的形式套用其他地方的用戶名密碼,導致的泄漏。”游云庭表示,因此基本事實難以確定,所以也比較難解決民事賠償問題。
據了解,按照黑客圈的商業邏輯,如果發現一家大公司的漏洞,完全可以把漏洞拿出去賣賺錢,一個漏洞都叫價幾百萬美金,而不會選擇盜刷用戶賬戶這種耗時耗力的方式變現。
之前還有報道稱,此次用戶賬戶被盜取可能是蘋果內部人所為。
但上述安全專家表示,說是內部人士所為沒有證據,可能性不大,撞庫可能性更高。
游云庭稱,從法律上說,這種案件是刑事犯罪,理論上應該先捉拿黑客歸案,確定其盜取密碼的方式,再判定到底是蘋果公司的責任,用戶的責任,或者是第三方網站的責任,然后再確定由誰來賠償。
“我建議蘋果公司去報案。因為是用戶的損失,不是蘋果公司的損失,單個用戶又很難達立案標準,只有用戶集體去向某個地方的公安報案還是有可能的,蘋果公司應該做的就是收集被竊取用信息用戶的情況,然后和用戶一起去報案。”游云庭稱。
