映象新闻

 据中国之声 《 新闻纵横》报道,近日,有多名苹果手机用户向中国之声反映,他们的Apple ID突然被他人盗用,原本账户绑定的支付平台被多次扣款,资金遭到了盗用,最高的损失达到了上万元。对此,苹果公司表示,已经了解相关情况,在对客户反映的问题进行审核后,会给出相应的处理结果。

 用户遭遇两重天:部分已收到退款,部分申请退款被拒

 10月1日中午,安徽的张先生突然收到几条付款的信息提示,随即,张先生点开了信息,却发现这笔钱被用于购买了App Store中的几款游戏APP,一共花了3000元。然而张先生平时并没有打游戏的习惯,因此张先生怀疑自己的苹果账户已经被他人所盗取。

 随后,他致电苹果公司客服反映情况,在客服的建议下,张先生先关闭了苹果账户的免密支付功能,并通过客服提交了自己的退款申请。张先生告诉中国之声记者:“他(客服)和我说会去审核这个情况,如果审核通过的话会给我退款,如果审核不通过的话后续还会和我联系”’。申请不久后,张先生收到了退款。

 但是,并不是所有账户被盗刷的人都申请到了退款,正在陕西某大学读大三的小李就没有这么幸运。8号上午,刚刚从睡梦中醒来的小李发现自己的苹果账户购买了价值1600多元的游戏币,虽然小李平时偶尔打游戏,但这几款游戏小李甚至没有听说过。小李告诉中国之声记者:“我跟苹果客服打电话反映被盗刷的情况,客服态度挺好的,登记了我的Apple ID以及电话信息,然后说帮我递交退款处理的申请,1到3个工作日之后会有结果”。

 听完客服的回复,小李松了一口气,可事情的发展并没有和她期待的一样。10月9日下午,小李收到了苹果官方的邮件,邮件内容显示,有一笔648元的支出没有通过审核,无法拿到退款。小李再次致电苹果客服时被告知,邮件显示的就是最终的结果,“他们也没办法”。

 据了中国之声的记者解,从今年9月开始,不少苹果手机用户都遇到了Apple ID被盗号、资金遭盗用的情况,像小李一样没有拿到全部退款的也并不在少数。

 专家建议开启账户双重认证服务

 中国之声的记者昨天致电苹果公司,工作人员向记者表示,出现账户被盗的情况,可能是由于用户自己不小心泄露了个人信息,或者扫描了一些用于盗取信息的二维码。

 对此,盘古团队技术总监陈业炫在接受中国之声记者采访时表示,苹果账户被盗取的情况之前就曾经出现过,“过去盗取苹果账户密码之后,可能会被人把iPhone给锁住,然后通过敲诈勒索进行套现。在这一次的案例里面,套现是通过在应用里面的内购,特别是游戏道具的内购,然后再进行套现。”

 陈业炫认为,近期会有如此多的苹果用户账户被盗取,主要是由于这些用户只采用了简单的密码认证来直接登录账户。他建议用户开通苹果公司提供的苹果账户双重认证服务,即二步认证,除了要通过输入账号和密码之外,再设置一个短信认证登录账户。此外,陈业炫还建议,苹果手机用户设置一个比较长的密码,对于不同的账户尽量设置不同的密码,以免出现一个账户被盗,多个账户受牵连的情况。

律师:苹果公司未尽到异常登录提示义务,构成违约责任理应赔偿

 10号凌晨,支付宝在其官方微博发布了安全提示,证实了存在苹果账户被盗刷的情况,也提醒广大用户调低苹果支付的免密支付额度。对于苹果账户被盗刷用户的经济损失,支付宝工作人员表示,如果绑定的支付平台是支付宝,用户应该及时反馈,支付宝会将此情况提交保险公司,由保险公司进行理赔。

 对于苹果公司拒绝给部分被盗刷用户退款的行为,北京康达律师事务所律师韩骁认为,苹果公司作为APP Store的服务提供者,负有保障服务安全的义务。盗刷用户在另外的苹果设备上下载苹果应用,应属于异常登录,苹果公司应尽到异常登录提示的义务,如未尽到此义务而导致用户ID被盗刷,应负未尽到合理安全保障义务的违约责任,受损失用户可向苹果公司索赔。

苹果用户被谁“咬”了一口

 躺在寝室和室友聊着天,苹果手机就在眼皮子底下隔空“消费”了自己银行卡内的几大千。

 最近,像成都市民小陈一样遭受莫名损失的苹果手机用户不在少数。众多苹果用户反映,在自己不知情的情况下,苹果ID购买了多项App Store内容,造成的损失在几百到几千不等。目前,已有一些受害者称已收到苹果公司的部分退款。

 一向以安全自称的苹果手机,为何会出现如此大规模的ID被盗事件?

 隐患 免密支付权限

 App Store  自动续费服务

 钱去哪了

 被盗刷的钱大都用来购买了风之大陆、魔域手游等相关的游戏产品。这是利用免密支付业务,盗窃钱财购买虚拟商品,进行套现的违法犯罪行为,专家表示,“这种行为就是销赃。”

 漏洞在哪

 Apple ID以前只能通过电子邮箱进行申请。很多用户为了方便记忆,习惯将所有密码设置为同一个,就会让非法用户通过获取电子邮箱密码进行撞库,从而碰撞出Apple ID账号以及密码。

 如何防范

 “除了解除免密支付外,还可以对Apple ID设置两步验证。”安全专家表示,此外,签约充值账户设置限额设置不同密码,新注册Apple ID最好采用手机号进行注册。

 匪夷所思

 聊天时手机被盗刷近5000元

 9日下午7点50分左右,成都市民小陈正躺在寝室和室友聊着天,她的苹果手机却收到了支付宝发来的消费短信提示,显示小陈的支付宝账户在App Store&Apple Music成功付款1000元,随后其又连续收到了支付宝发来的付款信息。“从7点50分到54分,短短4分钟时间,我的银行卡被盗刷了4922元!”小陈在接受记者采访时表示,自己当时专心和室友聊天,并没有从App Store中购买商品。但银行卡却为苹果ID充了值,并通过苹果ID购买了游戏产品。

 小陈出示的苹果商店的充值、购买记录显示,其被盗刷的资金用于购买了王者荣耀1180、6480点券等产品,每次交易金额分118元、648元不等,这一共花去2630元,其余的2292则被充值到她的Apple ID中。

 小陈告诉记者,她随后就联系了苹果公司,苹果公司说三天内会发邮件回复她,截至记者发稿,“我还没有等到苹果的回复邮件。”

 在小陈遭遇此事的前一天,成都某中学的学生小磊有同样经历。小磊告诉记者,8日下午时分,他的苹果手机连续收到了10条左右在App Store&Apple Music的消费提示短信,大多每笔消费金额都为648元,短短几分钟之内,“银行卡内的5832元都用来购买了风之大陆、魔域手游等相关的游戏产品。”当天下午,小磊就联系了苹果、微信的官方客服,并在微信钱包的“微信支付百万保障”功能下进行了申诉。

 波及全国

 部分受害者称已收到退款

 近日,像小陈、小磊一样遭盗刷的苹果手机用户越来越多,这些受害者建立了QQ群。小磊告诉记者,QQ一群已经500人满员,而QQ二群不断有8、9日被盗刷的受害者进群,截至10日下午6点,二群成员已达87人。而先前的媒体报道称,受害者已经超过700人。

 记者在“苹果ID被刷处理2群”中看到,盗刷事件的受害者分布在四川、吉林、上海、江苏、山东、广东等多个地区。用户被盗刷的金额多用于购买王者荣耀、大天使之剑H5、魔力宝贝、上古战纪、奇迹觉醒等游戏产品,被盗刷金额为1000余元到6000余元不等。

 与媒体之前报道的“苹果仅表示‘同情’,无法退款”的情况不同的是,记者看到“苹果ID被刷处理2群”中已经有多名受害者表示自己的退款申请已经在“处理中”“待处理”。小磊告诉记者,他在10日下午3点多收到了苹果的回复邮件,告知他苹果已经审核了他的案例,并针对相关购买项目为他发放了退款。此外,为了防止日后继续出现未经授权的交易,苹果已经停用了小磊的账户。一名吉林的苹果手机用户也表示,自己前几日被盗刷了2592元,目前已经追回了648元,还有1944元没有眉目;一名山东用户被盗刷1000余元,目前苹果已退款278元。

 记者就苹果ID被盗刷事件联系苹果方面工作人员,截至发稿未获对方回复。

 风险防范

 关闭免密支付、开启双重认证

 “除了解除免密支付外,还可以对Apple ID设置两步验证。”安全专家、成都云云科技有限公司技术总监范毅表示,此外,签约充值账户设置限额设置不同密码、尽量别使用真实QQ号邮箱、在QQ邮箱中设置一个别名,利用别名邮箱进行注册及登录都能帮助降低风险。“以后新注册Apple ID最好采用手机号进行注册。”

 10日,支付宝工作人员告诉记者,支付宝已经多次联系苹果公司并推动其尽快定位被盗原因,提升安全防范水平,并彻底解决用户权益损失的问题。

 支付宝方面还表示,用户可以在支付宝App里,点击我的>设置>支付额度>免密支付/自动扣款>App Store,Apple Music&iCloud>安全月额度设置符合自己的安全预期的月度限额。

 微信方面在接受记者采访时也表示,微信支付已积极联系苹果公司,了解问题解决进展。建议用户通过开启Apple ID双重认证,定期更换密码等方式加强对Apple ID的安全保护,提升对Apple ID绑定的支付方式的管理,降低被盗刷的风险。

 多名用户表示,盗刷事件爆发后,均已取消了支付宝、微信支付对苹果手机的免密支付权限,并在App Store中关闭了正在订阅的自动续费服务。

特 别 视 线

 安卓为何逃过一劫

 专家:软件生态决定盗用苹果ID价值更大

 目前安卓手机没有出现类似ID被盗刷的问题。为什么安卓手机用户逃过一劫?

 范毅表示,近两年,国内免费电子邮箱服务提供商偶尔会出现用户信息泄露的问题,而Apple ID以前只能通过电子邮箱进行申请。加上很多用户为了方便记忆,习惯将所有密码设置为同一个,就会让非法用户通过获取到的电子邮箱名以及密码进行撞库从而碰撞出Apple ID账号以及密码。而“国内安卓系统手机的默认ID是利用手机号进行登记的,在设置ID或登录时必须要短信验证,因此也导致破解难度较高。”

 范毅说,事实上Apple也启用了两步验证,利用短信或者受信任设备进行登录,但目前很多用户仍旧习惯使用Apple ID加密码的非安全组合。

 在Apple上进行任何充值业务都必须要借助Apple Store,而安卓系统的应用商店基本只提供App下载,充值缴费并不通过应用商店,“两种软件不同的生态圈,也使得盗窃Apple ID 的价值比起盗窃安卓手机ID的价值要更大。”范毅表示。

 事实上,自2016年起,网上就有关于利用Apple的充值功能进行盗刷的新闻,往年以以盗刷银行卡居多。这是利用免密支付业务,盗窃钱财购买虚拟商品,进行套现的违法犯罪行为,范毅表示,“这种行为就是销赃。”