按:
iPhone用户是无辜的,Apple ID被盗刷疑黑客充币洗钱……
苹果产品,曾被不少人认为是“最安全”的电子产品,但大量的盗刷事件开始让“神话”蒙灰,涉及金额从几百到上万不等,多数投诉无法得到解决。
据不完全统计,苹果ID被盗维权QQ群不低于20个,满500人群不低于3个;微博上“超700人苹果ID被盗刷”话题阅读量超3072万,多达3676条帖子讨论,单条热门微博下留言超2610条。
用户来不及改密码,黑客就登录盗刷
10月9日, 袁先生陆续收到几封苹果发来的邮件和微信支付信息:
20:58,收到“您的Apple ID被用于在iPad上登录iCloud”的邮件;
21:26,收到“您已为Apple ID启用双重认证”的邮件;
21:33开始被对方连续盗刷5笔,合计4310元,全部充值到了一个名为“远征手游-无兄弟,不远征”的游戏平台中。
“有收到邮件提醒,但根本没时间改密码,马上就被刷走了,而且变更邮件和微信支付提醒几乎是同时收到,还有什么用?”袁先生向本刊抱怨道,“21点57分我就取消了对方设置的双重验证,还看到了‘他’的号码,黑龙江的,打过去通了没人接。”
大多数消费者被盗刷的经过与袁先生相似,不少人绑定的是网易邮箱、QQ邮箱,且未给邮箱设置来信提醒,也没有看邮箱的习惯,收到支付信息才意识到被盗刷充值了游戏点券、元宝、钻石、魔石等。
盗刷维权进展:大多数不成功,少数退全额
500人维权QQ群里,不断有人发来收到苹果工程部的回复以及申请退款审核通过的消息,有些用户退了全款,也有人只退了一部分,他们分享成功经验,“找苹果高级客服,一个不行多换几个”。
但绝大数人一分钱都没退,“客服说没有办法,系统退不了。”同样是被盗刷,为何有的人没退呢?不少消费者尝试联系消协,工商,甚至报警,希望得到一个公平的解决,“再也不用苹果了”不止一个人在群里吐槽到。
盗刷金额流向游戏平台,圈内人:或通过游戏币“洗钱”
维权群的群主告诉本刊,自9月5日建群,群友反映被盗刷的钱多数被充值到各类游戏平台。拒不完全统计,被盗刷充值的游戏有腾讯的王者荣耀、奇迹:觉醒、斗破苍穹:斗帝之路,37游戏的大天使之剑H5-奇迹MU正版授权,游族的少年三国志-全新武将登场、西游女儿国-修仙角色扮演仙侠手游、天使纪元,网易的狼人杀,天晴数码的魔域口袋版,北京易通幻龙的魔力宝贝,冰川的远征手游,捕鱼欢乐颂,NBA篮球大师,刀剑斗神传等等。
以王者荣耀为例,黑客使用消费者的 Apple ID 在游戏内购买大量点券(人民币1块钱购10点券),则可用点券在游戏内兑换皮肤、积分等虚拟物品。一位资深游戏玩家大波告诉本刊,如果想要便宜购买游戏装备,不少人会通过淘宝、天猫和交易猫等平台,以及私下互加好友通过微信、支付宝进行交易。比如1688点券的王者荣耀皮肤,淘宝上65折,110元左右能买到,私底交易则是自行谈价。“便宜但风险大,私下交易并不安全。卖家都会说自己来自正规渠道,可谁知道呢?”
黑客是否会利用游戏中的装备来“销赃”,一位游戏圈内人接受本刊采访时表示,不排除个人或团伙作案。越热门的游戏越好赚,想要把游戏中的虚拟金币转出去有几种方式,一种是通过币商将游戏币批量倒手换成人民币,另一种是卖给个人用户。一线游戏厂商不太可能会通过盗刷的方式来刷流水,厂商常通过与游戏渠道和公会合作返现,或促销礼包等方式促使玩家充钱。一般来说,厂商是会重点打击盗刷以及币商行为。
▲黑市卖的游戏币价格▲闲鱼二手平台招点券代理的信息
针对近期Apple ID被大量盗刷充值游戏币的现象,腾讯相关负责人接受《消费者报道》采访时表示,类似盗刷风险主要在支付环节中,腾讯游戏作为产品运营方,一贯积极打击类似违法行为,涉嫌犯罪的,我们会进行刑事举报,并配合警方展开调查。
账号泄露责任在谁?商业公司不该甩锅给用户
苹果大批量账号密码被盗,不免让人联想到诸如CSDN、网易邮箱、B站、携程、汉庭等大量平台曾被曝光疑似脱库。一位IT技术人士向本刊分析,当用户资料被泄露,黑客则可能对Apple ID进行撞库,若之前同样的账号登录过被脱库的网站,而刚好用户的Apple ID也是用该邮箱注册的密码一样,且未开通苹果的双重验证,黑客则能轻易登录消费了。
中国人对账号密码的保护不够敏感,是一夜之间进入互联网时代,又是一夜之间进入移动互联网时代,大多数中国用户都没有自己的邮箱,且没有广泛使用邮箱的习惯。像中国用户常用的微信、QQ,被异地登录时会有信息及时弹出,而苹果账号被盗后,大量消费者反映“注册苹果ID的邮箱难得上一次,看到支付信息提醒才发现自己被盗刷了。”
用户信息泄露源头,黑客盗窃、免密支付漏洞……苹果ID被盗刷的责任链条很长。但用户是无辜的,没有主动设置“双重验证”亦是企业未积极提示的后果。本刊认为,商业公司不能把所有的问题甩给用户,无论是苹果、支付宝、微信等商业公司都应该承担起相关责任。当大量用户反映被盗刷,苹果公司作为一个世界最具价值品牌之一的商业巨头却迟迟没有行动,是一种极度不负责任的行为。苹果公司完全可以优先对异地IP登录、用户历史行为甄别加一层检验,缓冲保护未开启双重验证的消费者,增加盗刷的难度。
▲被盗刷后向苹果申请撤销交易失败(消费者供图)
消费提醒
为了账号的安全,本刊建议消费者为自己及亲朋好友的苹果电子设备开启双重验证,开启后,黑客即使盗取了您的账号密码,也还要通过密码以及受信任设备或受信任电话号码才能登录。
1. 苹果手机/电脑/iPad—设置—个人头像—密码与安全性—开启双重认证;
2. 装有 OS X El Capitan 或更高版本的 Mac—菜单—系统偏好设置—iCloud—帐户详细信息;
10月10日,支付宝亦在微博发布了“关于苹果手机的安全提示”:支付宝用户可以单独给 Apple ID 设置免密支付限额,进入支付宝 App,点击【我的】-【设置】-【支付设置】-【免密支付/自动扣款】-【App Store,Apple Music & iCloud】-【安全月限额】设定符合自己安全预期的月度限额。