近日，全國(guó)各地的蘋(píng)果手機(jī)用戶(hù)頻頻投訴自己的蘋(píng)果ID被盜號(hào)，綁定的相應(yīng)支付平臺(tái)被用于扣款，最高損失已達(dá)上萬(wàn)元，而上海蘋(píng)果中國(guó)公司對(duì)被盜刷用戶(hù)提出的退款申訴表示無(wú)法操作。

　　被盜刷2000多元 蘋(píng)果：同情卻無(wú)法退款

　　9月24日22時(shí)10分，湖北武漢劉女士iPhone6Plus上的支付寶通知顯示，22時(shí)09分她在App Store&Apple Music成功付款1000元；幾秒鐘后，又顯示付款1000元。

　　劉女士立即查看了自己的Apple ID近90天內(nèi)的購(gòu)買(mǎi)記錄，記錄顯示，她當(dāng)天為Apple ID“充值”了三筆費(fèi)用，共計(jì)兩千多元。此外，還為兩款游戲多次購(gòu)買(mǎi)“魔石”和“元寶”。

　　劉女士在支付寶查找扣款流程時(shí)發(fā)現(xiàn)，扣費(fèi)先是用了支付寶零錢(qián)，當(dāng)零錢(qián)余額不足時(shí)，就自動(dòng)從“花唄”里扣錢(qián)。

　　平時(shí)用支付寶都是使用密碼或指紋，盜刷者是怎么扣除費(fèi)用的呢？劉女士想起此前支付寶通知中有過(guò)“關(guān)閉免密支付功能”的提醒，但她表示不記得自己開(kāi)通過(guò)這項(xiàng)服務(wù)，更沒(méi)有使用過(guò)。她懷疑可能是自己的信息遭泄露，被不法分子利用。

　　于是她多次聯(lián)系蘋(píng)果客服，但對(duì)方僅僅表示“同情”，并告知其無(wú)法退款，沒(méi)有理由。劉女士轉(zhuǎn)而向上海消費(fèi)者保護(hù)委員會(huì)請(qǐng)求協(xié)助申訴，但蘋(píng)果方面此后回復(fù)劉女士的結(jié)果，依然是“系統(tǒng)判定無(wú)法退款”。

　　9分鐘被盜刷7筆 3240元僅退回640元

　　山西太原的成先生同樣遇到了盜刷，金額達(dá)3240元。但比劉女士“幸運(yùn)”的是，他追回了640元。

　　9月19日7時(shí)，成先生發(fā)現(xiàn)有筆640元的消費(fèi)。當(dāng)他查看微信交易賬單時(shí)發(fā)現(xiàn)，前一天晚上23時(shí)31分開(kāi)始，9分鐘內(nèi)被連續(xù)扣取了7筆費(fèi)用，全部都是給蘋(píng)果ID充值的訂單。

　　成先生當(dāng)即致電蘋(píng)果客服，客服查詢(xún)后幫其將最近的一筆640元支付退回，剩余的費(fèi)用則“需要申請(qǐng)并獲得認(rèn)可”。

　　9月21日，成先生收到了蘋(píng)果公司郵件，稱(chēng)經(jīng)過(guò)審核，無(wú)法撤銷(xiāo)賬號(hào)中未經(jīng)授權(quán)交易的相關(guān)費(fèi)用。成先生表示，自己的賬號(hào)和密碼僅用于該蘋(píng)果手機(jī)設(shè)備，且賬號(hào)密碼也比較唯一，沒(méi)有用于注冊(cè)其他應(yīng)用。

　　蘋(píng)果ID被盜刷頻現(xiàn) 受害者超700人

　　據(jù)兩位受害者講述，通過(guò)微博就能搜索到兩個(gè)“蘋(píng)果ID被刷處理”的QQ群，每個(gè)群的成員數(shù)量都已達(dá)300-400多人，分布在全國(guó)各地。

　　群成員幾乎都在9月份發(fā)生了被盜刷狀況，累計(jì)被盜刷金額從幾百到上萬(wàn)元不等。事發(fā)后，大家才意識(shí)到可能是因?yàn)樽约涸O(shè)置了免密支付，卻沒(méi)有限定免密支付的頻次和額度。

　　群成員只能解綁蘋(píng)果設(shè)備上所有支付平臺(tái)，取消支付平臺(tái)上的免密支付或自動(dòng)扣款功能，同時(shí)更換蘋(píng)果ID賬號(hào)密碼，有人甚至把原ID注銷(xiāo)。

　　或是利用免密支付漏洞 小額度多次盜刷

　　記者登錄蘋(píng)果手機(jī)賬戶(hù)，查看付款方式的設(shè)置，發(fā)現(xiàn)目前蘋(píng)果提供的付款方式有支付寶、微信支付、銀行卡、快捷支付等。

　　記者綁定的是支付寶賬戶(hù)，賬戶(hù)下方有一行“如需重新綁定請(qǐng)輕點(diǎn)此處”的選項(xiàng)，但點(diǎn)擊跳轉(zhuǎn)后，顯示的界面卻為“同意免密扣款授權(quán)協(xié)議并開(kāi)通”。

　　記者查看支付寶免密扣款的協(xié)議內(nèi)容，從頭到尾也未看到扣款的頻次和額度范圍，其中提到“支付寶會(huì)對(duì)您選擇的不同扣款渠道的付款額度做出不同的控制，日付款授權(quán)額度及日授權(quán)次數(shù)，均以支付寶向您具體公告的為準(zhǔn)。若超過(guò)該限額的話，將會(huì)扣款失敗，無(wú)法完成支付”。

　　如何控制付款額度？授權(quán)額度和次數(shù)默認(rèn)又是多少？公告又在哪里？不少受害者表示不清楚。

　　從受害者的實(shí)際損失看，盜刷者的單次盜刷金額基本不會(huì)超過(guò)2000元，可見(jiàn)極有可能，盜刷者是利用免密支付的漏洞，通過(guò)單次額度內(nèi)多次扣費(fèi)進(jìn)行“盜刷”。

　　專(zhuān)家：本質(zhì)是信息泄露 減少同賬號(hào)多平臺(tái)使用

　　一位從事網(wǎng)絡(luò)安全與優(yōu)化的業(yè)內(nèi)人士表示，盜刷本質(zhì)上還是賬號(hào)、密碼被盜導(dǎo)致。他建議用戶(hù)，在設(shè)置相對(duì)復(fù)雜的賬號(hào)和密碼之外，應(yīng)當(dāng)留心各平臺(tái)之間賬號(hào)信息的授權(quán)行為及協(xié)議，盡量減少同賬號(hào)密碼的多平臺(tái)使用，留意免密支付開(kāi)通的協(xié)議及更新內(nèi)容，管理好自己的免密支付額度和頻次限額。

　　此外，若是蘋(píng)果公司自身泄露賬號(hào)或被黑客攻擊泄露，可以要求蘋(píng)果公司進(jìn)行賠償，但是普通用戶(hù)在舉證方面存在困難。而且蘋(píng)果賬號(hào)本身就可以在多個(gè)設(shè)備之間登錄，這給了盜刷者非法操作的空間。從后臺(tái)看，較難判斷是用戶(hù)還是盜刷者的操作。

　　而且，支付平臺(tái)和蘋(píng)果公司有義務(wù)在提供免密支付功能時(shí)，給用戶(hù)提供明確的支付額度、頻次的選項(xiàng)，在授權(quán)前增設(shè)一道加密措施，給用戶(hù)的財(cái)產(chǎn)安全增加一道防線。