超700人蘋果ID被盜刷原因 損失最高可達十萬元卻無法追回

蘋果手機又出新事故，今年9月全國各地超700人蘋果ID被盜刷，金額數目不定，次數不定，有人只被盜刷一次，有人卻被盜刷多次，被盜刷者最高損失達到十萬元，最最重要的是這筆損失得到的蘋果回覆是：表示同情但無能無力，也就是這筆錢無法追回，那麼超700人蘋果ID被盜刷原因是什麼呢?一起去看看吧。

近日，全國各地的蘋果用戶曝ID賬號被盜刷，損失最高達十萬元。蘋果公司對此表示同情卻無法退款，支付寶也表示無法理賠。

盜刷者極可能是利用了手機綁定的支付平臺免密支付漏洞...

此消息曝光之後，不少網友圍觀後表示：“這也是我不開免密，同時也求支付軟件別老是提醒我開免密”、“指紋支付，小額免密，都是雷，慎踩。花一分錢，也要輸入密碼。”、“這不是跟支付平臺漏洞有關係嗎?爲何扯上蘋果?”。

眼睜睜被盜刷2000多元，蘋果卻無法退款

9月24日22時10分，湖北武漢劉女士拿起自己的iPhone6Plus，發現屏幕中出現了支付寶通知彈窗，顯示22時09分在AppStore&Apple Music成功付款1000元;幾秒鐘後，又來了條通知顯示付款1000元。1分鐘後，支付寶告知成功關閉Apple，and GCBDfor iCloud的App Store，Apple Music，&iCloud由雲上貴州運營服務。

劉女士就這樣眼睜睜看着自己的帳戶接連被扣除2000元，又自動關閉了一項蘋果服務!

隨後，她檢視了自己的Apple D近90天內的購買記錄，這讓劉女士大驚失色，顯示，她當天爲AppleID“充值”了三筆費用，分別是1000元、1000元和100元。她還爲一款名叫“魔域口袋版”的遊戲“購買”了3筆價值648元的“魔石”，另購買了一款名爲“傳奇世界”遊戲價值45元和98元的“元寶”。狀態都是“待付款”，幾分鐘後都變成了“已完成”。“這些遊戲，我聞所未聞，更別提下載了。”劉女士一臉困惑。

蘋果ID都是用戶郵箱，登入、付款等操作狀態及變動都會透過郵件形式告知用戶。劉女士立即開啟郵箱，發現蘋果公司於當天晚上22時06分發來一份“操作提醒”郵件，顯示她的這個QQ郵箱(即蘋果ID)被用於在iphone6上登入了iCloud。但劉女士僅有一臺蘋果設備，就是手邊的iphone6Plus，當即覺得自己是“被盜號了。”

劉女士綁定蘋果ID的付款方式爲支付寶，於是她又開啟了支付寶，查找扣款流程，發現發生的扣費先是用了支付寶零錢，不夠扣就自動轉爲花唄支付。“平時用支付寶都是使用密碼或指紋，盜刷者是怎麼扣除費用的呢?”

在和其他受害者交流中，劉女士意識到此前支付寶通知當中有過“關閉某項服務”的提醒，其實就是關閉免密支付功能，但她怎麼也記不起自己什麼時候開透過這項服務，更沒有使用過。她懷疑可能是自己的資訊遭泄露，被不法分子利用。

她前前後後聯繫蘋果客服“4006668800”8次，但對方除了表示“同情”，就是在提交系統審覈後告知其無法退款，沒有理由。劉女士轉而向上海消費者保護委員會請求協助申訴，但蘋果方面此後回覆劉女士的結果，依然是“系統判定無法退款”。

9分鐘被盜刷7筆，3240元僅退回640元

山西太原的成先生同樣遇到了盜刷，金額達3240元。但比劉女士“幸運”的是，他追回了640元。9月19日7時，一覺醒來的他發現有筆640元消費，本以爲是昨日在醫院檢查時產生的費用，就沒當回事。

但他登入微信交易賬單時發現，前一天晚上23時31分開始，9分鐘內被連續扣取了7筆費用，全部都是給蘋果ID充值的訂單。成先生當即致電蘋果客服，客服查詢後幫其將最近的一筆640元支付退回，剩餘的費用則“需要申請並獲得認可”。

9月21日，成先生收到了蘋果公司郵件，稱經過審覈，“我們仍然無法撤銷您賬號中未經授權交易的相關費用”。成先生氣不過，再次致電客服，對方表示這是審覈結果，無法退款，具體原因不清楚。至於誰在審覈，“無可奉告”。

成先生強調，自己的賬號和密碼僅用於該蘋果手機設備，且賬號密碼也比較唯一，沒有用於註冊其他應用，怎麼會發生盜刷情況?他回憶此前購買過15元/月和10元/月的優酷、愛奇藝訂閱服務，由於金額較小，他同意開通了自動扣款項目。他推測，一定是此前使用了免密支付功能，而盜刷者掌握了他的“路徑”，找到了支付功能漏洞。

9月是蘋果ID盜刷高峯，全國受害者超700人

據兩位受害者講述，透過微博就能搜尋到兩個“蘋果ID被刷處理”的QQ羣，每個羣的成員數量都已達300-400多人，兩個羣加起來，人數起碼在700人以上，分佈在全國各地。羣成員幾乎都在9月份發生了被盜刷狀況，累計被盜刷金額從幾百到上萬元不等。往往在事發後，才意識到自己設定了免密支付，即便知道，也沒有限定免密支付的頻次和額度。大家尋求過警方幫助，但最終只能透過自己與蘋果公司交涉。

羣成員都在尋找盜刷元兇，但都無果。只能亡羊補牢，解綁蘋果設備上所有支付平臺，取消支付平臺上的免密支付或自動扣款功能，同時更換蘋果ID賬號密碼，有人甚至把原ID註銷。

盜刷者可能利用免密支付漏洞，單次額度內多次扣費

記者登入蘋果手機帳戶，檢視付款方式的設定，發現目前蘋果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。記者綁定的是支付寶帳戶，帳戶下方有一行“如需重新綁定請輕點此處”的選項，但點擊跳轉後，顯示的介面爲“同意免密扣款授權協議並開通”，爲何重新綁定帳戶變成了同意免密支付?

記者在蘋果手機上檢視付款方式，點擊更換重新綁定帳戶，跳轉後的頁面是“同意協議並開通”免密支付，授權資訊說明模糊。記者在蘋果手機上檢視付款方式，點擊更換重新綁定帳戶，跳轉後的頁面是“同意協議並開通”免密支付，授權資訊說明模糊。

記者檢視支付寶免密扣款的協議內容，從頭到尾也未看到扣款的頻次和額度範圍，有一段字型加粗的內容：“支付寶只是被授權指令的執行方，除非沒有依照特定第三方的指令進行操作，或操作指令錯誤，否則支付寶不對本服務產生的損失和責任負責”;不加粗的內容當中，提到“支付寶會對您選擇的不同扣款渠道的付款額度做出不同的控制，日付款授權額度及日授權次數，均以支付寶向您具體公告的爲準。若超過該限額的話，將會扣款失敗，無法完成支付”。

如何控制付款額度?授權額度和次數默認又是多少?公告又在哪裏?不少受害者表示不清楚。

而支付寶如此介紹免密支付功能：蘋果設備上充值視頻網站VIP會員、購買遊戲道具或其他付費項目時，將透過支付寶自動完成支付，“百萬APP和遊戲一觸即得”。這些功能與受害者們的經歷頗爲重合，比如，被盜刷的付費項目多用於名不見經傳的遊戲充值，或者受害者此前使用過免密支付/自動扣款的訂閱服務。

從實際損失看，盜刷者的單次盜刷金額基本不會超過2000元，可見極有可能，盜刷者是利用免密支付的漏洞，透過單次額度內多次扣費進行“盜刷”。

專家：本質上仍是賬號資訊泄露，建議減少同賬號多平臺授權行爲

對此，一名從事網絡安全與優化的業內人士告訴記者：盜刷本質上還是賬號、密碼被盜導致。

賬號密碼相當於所有資訊的城牆，如果賬號密碼被盜，黑客攻入城牆，付款方式的安全漏洞就都暴露出來;藉助免密支付、自動扣款等方便支付功能的“東風”，盜刷就很容易發生。但大前提，仍然是賬號安全出了問題。賬號密碼是用戶自己管理的，如果被盜了，用戶自己有一定責任，比如密碼設定太過簡單;在其他平臺隨意授權登入，被交易流出。這種情況下，蘋果公司不會賠償。

請注意，不!會!賠!償!

若是蘋果公司自身泄露賬號或被黑客攻擊泄露，可以要求蘋果公司進行賠償，但是普通用戶在舉證方面存在困難。而且蘋果賬號本身就可以在多個設備之間登入，這給了盜刷者非法操作的空間。從後臺看，較難判斷是用戶還是盜刷者的操作。

當然，支付平臺和蘋果公司有義務在提供免密支付功能時，給用戶提供明確的支付額度、頻次的選項，在授權前增設一道加密措施，給用戶的財產安全增加一道防線。