澎湃新闻记者 周玲
近期有不少iPhone用户反映,Apple ID被盗取,黑客利用Apple ID的免密支付功能,购买游戏币等虚拟产品,给自己造成经济损失,从几百元上千元不等,甚至有人损失上万元。
一位安全技术专家告诉澎湃新闻记者,自从苹果推出免密支付,用户被盗刷的现象就存在,不是今天才有这种现象。“最近8月、9月份以来反应的人比较多,我身边也有人中招。”为此,这名安全技术专家建议用户尽快开启双重认证,避免后续遭到攻击。
所谓“免密支付”,指的是接入苹果账户的支付方式“无需密码”,或者是一定金额内“无需密码”,黑客利用这一漏洞,通过网上购买虚拟产品进行变现。日前用户反映较多是支付宝和微信支付被盗刷,其实信用卡和借记卡也同样支持免密支付,也有被盗刷风险。
央视财经的报道提及,目前统计到的被盗刷人数,预计超过700人。而苹果方面尚未对这波攻击进行系统回应,目前苹果苹果客服给出的处理方案中,也并非对所有用户进行退款。
上海大邦律师事务所高级合伙人游云庭在接受澎湃新闻记者采访时称,苹果用户被盗刷事件本身比较复杂,是谁的责任比较难判断。
被质疑的“免密”支付
目前,苹果已经向开通第三方支付的用户,增加了支付宝、微信客户端的免密支付安全验证和短信验证。
据央视财经报道,记者在苹果手机“付款信息”中发现,开通支付宝支付功能的界面中出现了一份名为 《支付宝免密扣款授权的协议》,点击协议后记者发现,该份协议由支付宝和苹果用户签订,并明确了:“支付宝只是被授权指令的执行方,除非支付宝没有依照该特定第三方的指令进行操作,或者操作指令错误,否则支付宝不对本服务产生的损失和责任负责”。
记者在自己的支付宝账户设置中发现,已经签约开通了苹果应用商店的“免密支付”功能,而在设置“安全月限额”一栏中记者发现,限额被默认选择了“无限额”,而不是其提供的“有限额”选项。
上述报道认为,“免密支付”必须同意,额度又默认“无限额”,如此的设置增加了用户潜在的安全隐患。而此次苹果用户遭遇盗刷,用户在向苹果公司进行权益申诉时却发现,默认同意的协议里并没有苹果公司应有的责任和义务。
有法律专家就指出,强制开通用户的“免密支付”功能却不与用户直接签署协议,如此的做法不仅侵犯了消费者的知情权和自由选择权,也造成了用户的维权难。
技术专家:黑客撞库很容易得手,建议用户开通双重验证
那么,为何近期盗刷会如此猖獗,为何黑客会容易得手?
“这些被盗刷用户都是没有采用双重认证的,现在厂商都在逐步引导用户做双重认证,在我们安全圈,系统账号的密码是没戏的,需要通过短信验证码、动态密码生成器这种方式来二次验证才能确保安全。”这位技术专家表示,近年频繁出现数据库泄露事件,很多用户信息被泄露,成为黑客撞库的资料源。
“在那个小圈子,有人专门整理这些资料用来牟利,有些用户不同账号都用相同的密码登陆,你密码被泄露后,黑客拿去撞库,试你苹果的账户,很容易中招,一旦成功了就会盗刷。”这位专家建议用户,赶紧去开通双重认证。
除了苹果,其他手机企业也支持“免密支付”,但被盗刷案例较少。
这位技术专家表示,其他手机品牌自家支付用户数量较少,用户更多直接用支付宝、微信等第三方支付,所以被盗刷现象少。
对iPhone用户来说打开“Apple Store” app,登陆Apple ID,打开“安全”栏进入双重密码认证设置。如果还不放心的话,把免密支付的额度降低,甚至把“付款信息”栏选择“无”。
苹果客服给出三种处理方案
被盗刷的iPhone用户通过与苹果客服沟通,进行退款申请,最终由苹果决定是否给用户退款。
从用户反馈看,苹果客服流程最终给出了三种处理方案。有用户收到了全部盗刷款的赔付;有些的用户是部分获得赔付,有些刷单未通过;还有的很不幸,苹果一分钱赔付都没有。
据澎湃新闻记者了解,有关流程审核苹果有一套技术机制,对用户是否是被盗刷进行甄别,最终给出是否赔付的结论。也有苹果客服回复用户称,他们也不知道原因,只是把公司内部流程处理结论告知用户。
苹果中国公司之前曾对外表态,将积极沟通处理,但截至目前苹果中国未给出官方的处理方案。
支付宝方面之前则明确提示:监测到部分苹果用户的ID被盗,由此带来相关ID绑定的支付工具遭到资金损失。支付宝表示,目前已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题,苹果公司回复已经在积极解决。
上述安全专家也指出,有关用户账户被盗刷苹果在技术上应该做出更多调整,“国内的领先电商针对用户异地登录等异常行为都会做出提醒,但苹果没有,这方面苹果应该向电商公司学习,这个可以规避很多风险。”
谁之过?谁担责?
上海大邦律师事务所高级合伙人游云庭在接受澎湃新闻记者采访时称,苹果用户被盗刷事件本身是谁的责任比较难判断。
“批量丢失有一种可能是苹果公司有漏洞,导致用户密码丢失;还有一种可能性是,用户在其他网站或者因为自己的系统有漏洞丢失了用户名密码,之后被黑客以撞库的形式套用其他地方的用户名密码,导致的泄漏。”游云庭表示,因此基本事实难以确定,所以也比较难解决民事赔偿问题。
据了解,按照黑客圈的商业逻辑,如果发现一家大公司的漏洞,完全可以把漏洞拿出去卖赚钱,一个漏洞都叫价几百万美金,而不会选择盗刷用户账户这种耗时耗力的方式变现。
之前还有报道称,此次用户账户被盗取可能是苹果内部人所为。
但上述安全专家表示,说是内部人士所为没有证据,可能性不大,撞库可能性更高。
游云庭称,从法律上说,这种案件是刑事犯罪,理论上应该先捉拿黑客归案,确定其盗取密码的方式,再判定到底是苹果公司的责任,用户的责任,或者是第三方网站的责任,然后再确定由谁来赔偿。
“我建议苹果公司去报案。因为是用户的损失,不是苹果公司的损失,单个用户又很难达立案标准,只有用户集体去向某个地方的公安报案还是有可能的,苹果公司应该做的就是收集被窃取用信息用户的情况,然后和用户一起去报案。”游云庭称。
