猎云网注:在向苹果客服进行情况反馈的三个工作日后,吴女士收到了苹果公司发来的电子邮件,称“无法撤销账号中未经授权的相关费用”。而苹果公司并没有告知吴女士,被盗刷的退款申请由谁来进行审批。文章来源:央视新闻移动网,作者:马力。
近日,苹果用户账户出现集体被盗刷的情况,受害人分布在江苏、山东、上海、北京等多地,数量预计超过700人。一向给用户安全体验较高,宣称不易被病毒入侵的苹果系统,为何会爆发用户信息集体被盗的安全事件呢?
多地苹果手机用户遭盗刷 退款需苹果后台自动审批
9月29日,北京的吴女士突然收到了银行发来的提示短信,告知其账户出现安全原因暂被管控。当吴女士打开银行账户关联的支付宝后发现,短短6分钟就出现了20笔消费,总金额5000多元。
苹果手机用户吴女士:它是按照支付宝设定的扣款顺序来设定的,先扣我的信用卡,然后因为信用卡被锁定了之后,它又开始扣我的储蓄卡,然后我的储蓄卡它只扣了一笔,然后就被锁定了。然后它就开始扣我的余额,我余额里的钱很少,扣了一笔,然后就显示扣款失败,接着扣余额宝,又扣了一笔,然后接着又显示扣款失败,这个时候支付宝检测到我的账户有异常,把我的支付宝账户给锁定了。
吴女士的支付宝账户为何在没有操作的情况下就出现了支付行为,并且在支付成功后才出现提示呢?
苹果手机用户吴女士表示:我以为是支付宝被盗,就给支付宝打电话,支付宝说都是在苹果的商店里,消费的东西是用了免密支付,认为是我的苹果ID被盗了。
支付宝客服电话95188称,苹果手机和支付宝签约了免密支付,一个协议支付的代扣。如果签约了之后,确实是不需要本人去输密码,或者是不需要操作,会产生一个自动扣款扣费的情况。如果有绑定过的话可以联系苹果的客服去咨询一下能不能去退款。
吴女士的支付宝消费记录显示,被盗刷的20笔交易分别为向苹果应用商店充值和购买一款名为“魔力宝贝”的游戏道具,交易记录中被标注了“APP内购买项目”,而吴女士表示,自己从来没有玩过这款游戏,也没有为苹果应用商店充过值。
在向苹果客服进行情况反馈的三个工作日后,吴女士收到了苹果公司发来的电子邮件,称“无法撤销账号中未经授权的相关费用”。而苹果公司并没有告知吴女士,被盗刷的退款申请由谁来进行审批。
客服:我们这边没有办法直接给到您权限的一个退款,这方面我们后台也查不到。
吴女士:所以你们是没有标准还是这个标准你们不知道?
客服:我们这边查不到,它就是后台自动做相应的审批。
使用支付宝 须授权开通"免密支付"
同样遭遇账户被盗无法追回损失的还有浙江台州的刘小姐,10月9日,也就是她开通苹果账号中的支付宝支付功能的第二天,就遇到了盗刷的情况,先后出现了8笔消费,损失3000多元。刘小姐发现,苹果的账号在开通支付宝支付功能时,必须同意开通“免密支付”。
苹果手机用户刘小姐表示,苹果账户中的付款方式可以选择支付宝、微信、银联或者是其它的支付方式。当我们选择支付宝的时候,就会出现支付宝免密扣款授权协议,如果不同意免密扣款授权协议的话,我们是无法用支付宝进行付款的。
除了支付宝,编辑还发现在苹果手机的支付信息中,开通微信支付的前提也是默认同意开通“免密支付功能”。针对被强制开通“免密支付”而出现的盗刷,用户在向苹果公司客服询问时得到了这样的回复。
苹果公司客服电话 4006668800:如果说您是通过支付宝免密扣款方面的话,这个我确实也不太清楚,这个您可以联系支付宝那边去确认一下,好吧。
而浙江台州的刘小姐反复拨打苹果客服电话多次,还是被对方拒绝退款。
新闻追踪:苹果已新增免密安全验证功能
央视编辑对此次苹果用户出现集体被盗刷的原因进行了梳理,首先受害的苹果用户都是在苹果手机的设置里授权开通了第三方的“付款”,这里包括支付宝、微信、银行卡等付款方式;另外,苹果用户在开通第三方的 “付款方式”时,苹果公司给的选项只有“免密支付”,否则就无法使用,用户想要使用支付宝、微信等支付手段就必须同意授权,进而导致了这次因“免密支付” 而出现的盗刷。
发稿前编辑再次登录苹果设置,发现相比浙江台州刘女士提供的视频,用户开通第三方支付时,苹果增加了支付宝、微信客户端的免密支付安全验证和短信验证。
10月10日凌晨1点21分,支付宝通过其官方微博发布了一份声明,称监测到部分苹果用户ID被盗,造成绑定的支付账户遭到盗刷,建议用户调低苹果支付的免密支付额度。截至编辑发稿前苹果公司并未向外界披露相应的信息。苹果强制用户开通免密功能的背后,是否存在对消费者权益的侵犯呢?
强制“免密” 方便用户还是肥了苹果
编辑在苹果手机“付款信息”中发现,开通支付宝支付功能的界面中出现了一份名为 《支付宝免密扣款授权的协议》,点击协议后编辑发现,该份协议为支付宝和苹果用户签定,并明确了:“支付宝只是被授权指令的执行方,除非支付宝没有依照该特定第三方的指令进行操作,或者操作指令错误,否则支付宝不对本服务产生的损失和责任负责”。
苹果的支付信息中提供了支付宝、微信等支付渠道,但用户要想进一步了解支付的功能,需要自行到支付平台进行设置。编辑在自己的支付宝账户设置中发现,已经签约开通了苹果应用商店的“免密支付”功能,而在设置“安全月限额”一栏中编辑发现,限额被默认选择了“无限额”,而不是其提供的“有限额”选项。
“免密支付”必须同意,额度默认又“无限额”,如此的设置增加了用户潜在的安全隐患。而此次苹果用户遭遇盗刷,用户在向苹果公司进行权益申诉时却发现,默认同意的协议里并没有苹果公司应有的责任和义务。
中国人民大学民商法研究中心副主任姚欢庆表示,实际上作为这个免密支付的部分里面,它的协议并不是跟这个第三方平台,也就是苹果来签的,它是跟支付宝公司签订的这种免密支付的协议,那么支付宝公司会说,我的协议里面已经明确规定了权利义务的问题,所以说你既然同意了这样一个免密支付的条款的点击说明你就认可了,由此所产生的风险由消费者自己来承担。作为平台来说它也是一样的,我是提供了一种消费方式选择的可能性,你既然点击了,说明你就认可这样的情形。
将用户引导给支付宝签定《免密支付协议》,苹果公司就可能规避潜在的法律风险。而让用户开通免密支付功能,又会带来什么样的利益呢?苹果公司工作人员告诉编辑,用户通过苹果平台提供支付功能中的每一笔消费,苹果公司会从中按比例进行提成,“免密支付”的开通无疑提高了用户的消费便捷度,从而给苹果公司带来更多的分成。有法律专家就指出,强制开通用户的“免密支付”功能却不与用户直接签署协议,如此的做法不仅侵犯了消费者的知情权和自由选择权,也造成了用户的维权难。
中国政法大学传播法研究中心副主任朱巍认为:事实上苹果是在消费者消费的过程中提供了类似于安全保障的这样一个场所,苹果是对用户的资金安全和人身安全是有一个安全保障义务的。因为最开始你就没有协议,没有协议本身就是一个缺失,没有提示义务,没有网民协议,没有免责声明,而且最重要的是没有告诉消费者一旦丢失手机丢失移动端的时候应当用什么方式及时止损,它都没有说。所以这种情况苹果是有责任的,而且这种责任是不能推卸的。
账号被公然交易 免密背后隐患大
用户和苹果之间支付协议的“被缺失”,也造成了在遭遇账户安全风险时用户无法维护自身权利。据了解,此次遭遇盗刷的苹果用户有部分人已经得到了苹果公司的退款,而北京的吴女士和浙江的刘小姐,却一直无法知道自己能否追回损失。而编辑在深入调查后还发现,大量苹果账户在一些社交平台被公然出售,“免密支付”给了不法分子可乘之机。网络安全工程师向编辑展示了QQ群里出现的苹果账户交易黑色产业链。
网络安全工程师刘沛称:我们现在在QQ直接搜索“批发Apple ID”,这个时候其实大家可以看到非常多的QQ群,我们随机点开第一个,里面就有958个人。它的群介绍,包括出售苹果账号批发出售,然后出售苹果Apple ID白号过检查的ID号,以及等等其他的一些账号。
据网络安全工程师分析,此次苹果账户出现集体被盗刷的情况很有可能是用户名和密码被黑客窃取后采取大量“试错操作”,最终破解出苹果用户的账户和密码,从而利用免密支付进行盗刷。
网络安全工程师刘沛表示:前几年,大家也会听说过非常多的邮箱数据泄露,导致各种被黑产攻击的情况发生,那么这种情况下,比如说我是黑产,那这个时候我掌握了一群人的邮箱和密码,我能够成功登录你的邮箱,这时候我就可以去直接尝试看你是不是在苹果有注册过,是不是对应了一个苹果ID,这种情况下,我直接去登录你的苹果ID,而开启了免密支付之后,这时候就会被这些黑产钻空子。
有互联网法律学者指出,目前在我国飞速发展的快捷支付虽然极大地方便了用户的体验,但也带来了账户资金安全的多重风险。相关互联网支付的法律法规应该不断补充完善,从制度上发挥约束作用。
中国互联网协会法治工作委员会副秘书长胡钢认为:美国人发明的信用卡在六七十年代就建立了相关的法律制度,比如《诚实信贷法》等等,美国信用卡用户如果出现盗刷,最多就负责50美元的损失,其它损失都是由发卡行、卡组织或者相关的商户去承担。所以我们的移动支付和我们的信用卡应该同步建设,第一要有明确的保险制度;第二应该有具体的法律设计,保障普通的用户只承担特别有限的责任。这个都应该是由相关的保险经营分担,或者由相关的商家进行承担。这样才是一个合理的制度安排,所谓的移动支付才用得安心。