苹果不安全了!用户账户集体被盗刷谁来担责?

苹果不安全了!用户账户集体被盗刷谁来担责?
2018年10月13日 01:03 国际金融报

  苹果产品的安全性一直以来是大多数“果粉”的骄傲,然而最近苹果用户账户(Apple ID)被盗刷的事件频频发生,恐怕要让不少消费者对苹果的安全程度、保护隐私承诺感到失望了。

  近日,全国各地陆续有苹果用户发现自己的账户被盗刷,用于在App Store中充值和购买产品,微博上“超700名苹果ID被盗刷”的话题阅读量已经超过三千万。

  遭遇盗刷的用户自发组织了多个QQ群商讨解决办法,有部分用户在多次致电苹果客服、向苹果发送邮件后获得了退款,但更多人还在等待。

一位苹果用户的账户被盗用于充值和购买游戏一位苹果用户的账户被盗用于充值和购买游戏

  1

  安全隐患爆发

  约一个月前,路明(化名)发现自己的苹果ID无故被盗刷了900元,被用于在App Store中购买游戏软件。

  彼时,苹果用户账户被盗刷的个案并不多,在致电苹果客服后,路明在两三天后收到了退款。

  事件真正爆发是在10月。记者在一个有近200人的“苹果ID被刷处理群”中发现,ID被盗刷事件大多发生在9月底和10月初。

  据群内用户描述,大多数用户ID被盗刷主要用于为Apple ID充值和在王者荣耀、魔力宝贝、魔域手游等游戏App内购买项目,每一笔费用从几十元到上千元不等,群内大多数用户受损金额集中在1000元-5000元之间,有个别用户受损金额过万。

  一位匿名人士称,苹果用户受到的这波攻击,很可能是有人收集邮箱、支付宝账户,通过撞库攻击(很多用户在不同网站使用相同的账号和密码,黑客通过收集已泄露的账号和密码信息,生成对应的字典表,尝试批量登陆其他网站,也就是通过用户在A网站的账户尝试登录B网站,最终得到一系列可以登录的账户),破解用户的苹果账户,再利用所得账户进行代充游戏等操作。

  同济大学计算机应用专业、深兰科技战略技术研究员王雷博士向《国际金融报》记者表示,撞库和钓鱼是现在盗取用户账户和密码较常用的方式,因为很多用户在多个网站的账户和密码相同,使得撞库成功概率较大。

  也有观点认为,苹果用户账户集体被盗可能与用户在支付宝、微信支付等平台上签订了免密支付协议有关。但王雷认为,与平台签订免密支付协议导致Apple ID被盗的逻辑是不对的,只能说因为绑定了免密支付,使得黑客在盗取Apple ID和密码后,能够立刻没有成本地盗取用户资金。

  对于用户账户被盗刷情况以及对策等方面,记者向苹果公司提出疑问,但截至发稿前未收到对方回复。

  2

  退款程序复杂

  路明顺利地获得了被盗刷金额的退款,但大多数苹果用户并没有这样的好运。

  苹果用户账户被盗刷事件陆续发生后,有大量用户致电苹果客服,要求退款。但据媒体报道,部分消费者在多次联系苹果客服后,对方仅 “表示同情”,并告知其无法退款。

  记者在上述QQ群内统计发现,截至10月11日,获得全部或少部分退款的用户相加起来也不到两成。

  有用户甚至已经总结出苹果客服的“套路”:先是索要订单编号或进行个人验证,帮助在系统上申请退款,但系统并不会轻易地通过退款申请。不少用户已经分别与普通、主管、高级三级客服进行沟通,最后获得的反馈仍是“在72小时内进行邮件回复”。

  而所谓的反馈邮件也陆续有用户晒出截图,苹果公司在邮件中表示,案例经过审核后,仍无法撤销用户账号中未经授权交易的相关费用。而且,苹果并未告知用户其判断能否退款的标准。

  北京市康达律师事务所韩骁律师向《国际金融报》记者表示,苹果公司拒绝退款、赔偿的原因在于苹果账户被盗存在多重原因,其中用户也有一定责任。但即使如此,苹果公司作为App Store的服务提供者,也负有保障服务安全的义务。

  在尝试了致电客服、发送邮件、求助媒体、致电苹果海外公司等多种方式后,10月11日晚间,有个别用户在群里表示自己的退款申请通过了,这让其他用户看到了一丝转机。

  一位已获得全部退款的用户表示:“现在舆论压力大了,审核(情况)应该好点了。”

  3

  谁来担责?

  事件发生后,苹果公司、支付平台、用户三方中谁应该承担主要责任引发了公众热议。

  根据《网络安全法》第25条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

  这意味着,网络运营商如果发生系统漏洞导致苹果账户被泄露,从而使用户账户被盗,那么运营商应承担责任。

自动扣费记录自动扣费记录

  用户的自动扣费记录页面显示,“App Store,Apple Music,& iCloud由云上贵州运营”,因此不少用户和网友将矛头指向了云上贵州。

  云上贵州公司内部人士向《国际金融报》记者表示,可能用户对展示的页面存在误解,认为这三项业务均由云上贵州负责,事实上云上贵州只负责iCloud业务,如果用户账户发生问题,还是建议联系苹果总部。

  公开资料显示,今年2月28日起,中国内地的iCloud服务将转由云上贵州大数据产业发展有限公司负责运营。而苹果官网上,除了中国内地的 iCloud 服务外,并未显示云上贵州有负责运营其他苹果公司业务。

  由于大部分被盗刷的用户开通了免密支付,所以有观点认为支付宝、微信支付等平台也需要承担一定的责任。

  《电子商务法》(已颁布并将施行)规定,电子支付服务提供者为电子商务提供电子支付服务,应当遵守国家规定,告知用户电子支付服务的功能、使用方法、注意事项、相关风险和收费标准等事项,不得附加不合理交易条件。电子支付服务提供者提供电子支付服务不符合国家有关支付安全管理要求,造成用户损失的,应当承担赔偿责任。

  10月10日,支付宝官方微博发布了关于苹果手机的安全提示,称监测到部分苹果用户ID被盗并遭到资金损失。支付宝已经多次联系苹果公司并推动其尽快定位被盗原因,并建议用户调低苹果支付免密支付额度。

  韩骁律师向《国际金融报》记者表示,盗刷用户在另外的苹果设备上下载苹果应用,应属于异常登录,苹果公司应尽到异常登录提示的义务,如未尽到此义务而导致用户ID被盗刷,应负未尽到合理安全保障义务的违约责任,受损失用户可向苹果公司索赔。

  针对此次事件,王雷博士建议,用户要做好隐私保护,设置多个密码保管自己的账户;企业要进一步完善技术、系统和业务逻辑;从技术角度来看,此次被盗取的ID使用的是文本类型的账户和密码,未来要使用和发展更加智能的技术,例如生物识别技术、人脸识别技术等,以更好地保护用户隐私。

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片