大規模的ID被盜事件 蘋果用戶被誰“咬”了一口？

　　躺在寢室和室友聊著天，蘋果手機就在眼皮子底下隔空“消費”了自己銀行卡內的幾大千。

　　最近，像成都市民小陳一樣遭受莫名損失的蘋果手機用戶不在少數。眾多蘋果用戶反映，在自己不知情的情況下，蘋果ID購買了多項App Store內容，造成的損失在幾百到幾千不等。目前，已有一些受害者稱已收到蘋果公司的部分退款。

　　一向以安全自稱的蘋果手機，為何會出現如此大規模的ID被盜事件？

　　隱患

　　免密支付權限

　　App Store

　　自動續費服務

　　錢去哪了

　　被盜刷的錢大都用來購買了風之大陸、魔域手遊等相關的遊戲產品。這是利用免密支付業務，盜竊錢財購買虛擬商品，進行套現的違法犯罪行為，專家表示，“這種行為就是銷贓。”

　　漏洞在哪

　　Apple ID以前只能通過電子郵箱進行申請。很多用戶為了方便記憶，習慣將所有密碼設定為同一個，就會讓非法用戶通過獲取電子郵箱密碼進行撞庫,從而碰撞出Apple ID账號以及密碼。

　　如何防範

　　“除了解除免密支付外，還可以對Apple ID設定兩步驗證。”安全專家表示，此外，簽約充值账戶設定限額設定不同密碼,新注冊Apple ID最好採用手機號進行注冊。

　　匪夷所思

　　聊天時手機被盜刷近5000元

　　9日下午7點50分左右，成都市民小陳正躺在寢室和室友聊著天，她的蘋果手機卻收到了支付寶發來的消費簡訊提示，顯示小陳的支付寶账戶在App Store&Apple Music成功付款1000元，隨後其又連續收到了支付寶發來的付款資訊。“從7點50分到54分，短短4分鐘時間，我的銀行卡被盜刷了4922元！”小陳在接受記者採訪時表示，自己當時專心和室友聊天，並沒有從App Store中購買商品。但銀行卡卻為蘋果ID充了值，並通過蘋果ID購買了遊戲產品。

　　小陳出示的蘋果商店的充值、購買記錄顯示，其被盜刷的資金用於購買了王者榮耀1180、6480點券等產品，每次交易金額分118元、648元不等，這一共花去2630元，其余的2292則被充值到她的Apple ID中。

　　小陳告訴記者，她隨後就聯繫了蘋果公司，蘋果公司說三天內會發郵件回復她，截至記者發稿，“我還沒有等到蘋果的回復郵件。”

　　在小陳遭遇此事的前一天，成都某中學的學生小磊有同樣經歷。小磊告訴記者，8日下午時分，他的蘋果手機連續收到了10條左右在App Store&Apple Music的消費提示簡訊，大多每筆消費金額都為648元，短短幾分鐘之內，“銀行卡內的5832元都用來購買了風之大陸、魔域手遊等相關的遊戲產品。”當天下午，小磊就聯繫了蘋果、微信的官方客服，並在微信錢包的“微信支付百萬保障”功能下進行了申訴。

　　波及全國

　　部分受害者稱已收到退款

　　近日，像小陳、小磊一樣遭盜刷的蘋果手機用戶越來越多，這些受害者建立了QQ群。小磊告訴記者，QQ一群已經500人滿員，而QQ二群不斷有8、9日被盜刷的受害者進群，截至10日下午6點，二群成員已達87人。而先前的媒體報導稱，受害者已經超過700人。

　　記者在“蘋果ID被刷處理2群”中看到，盜刷事件的受害者分布在四川、吉林、上海、江蘇、山東、廣東等多個地區。用戶被盜刷的金額多用於購買王者榮耀、大天使之劍H5、魔力寶貝、上古戰紀、奇跡覺醒等遊戲產品，被盜刷金額為1000餘元到6000餘元不等。

　　與媒體之前報導的“蘋果僅表示‘同情’，無法退款”的情況不同的是，記者看到“蘋果ID被刷處理2群”中已經有多名受害者表示自己的退款申請已經在“處理中”“待處理”。小磊告訴記者，他在10日下午3點多收到了蘋果的回復郵件，告知他蘋果已經審核了他的案例，並針對相關購買項目為他發放了退款。此外，為了防止日後繼續出現未經授權的交易，蘋果已經停用了小磊的账戶。一名吉林的蘋果手機用戶也表示，自己前幾日被盜刷了2592元，目前已經追回了648元，還有1944元沒有眉目；一名山東用戶被盜刷1000餘元，目前蘋果已退款278元。

　　記者就蘋果ID被盜刷事件聯繫蘋果方面工作人員，截至發稿未獲對方回復。

　　風險防範

　　關閉免密支付、開啟雙重認證

　　“除了解除免密支付外，還可以對Apple ID設定兩步驗證。”安全專家、成都雲雲科技有限公司技術總監范毅表示，此外，簽約充值账戶設定限額設定不同密碼、盡量別使用真實QQ號郵箱、在QQ郵箱中設定一個別名，利用別名郵箱進行注冊及登錄都能幫助降低風險。“以後新注冊Apple ID最好採用手機號進行注冊。”

　　10日，支付寶工作人員告訴記者，支付寶已經多次聯繫蘋果公司並推動其盡快定位被盜原因，提升安全防範水準，並徹底解決用戶權益損失的問題。

　　支付寶方面還表示，用戶可以在支付寶App裡，點擊我的>設定>支付額度>免密支付/自動扣款>App Store，Apple Music&iCloud>安全月額度設定符合自己的安全預期的月度限額。

　　微信方面在接受記者採訪時也表示，微信支付已積極聯繫蘋果公司，了解問題解決進展。建議用戶通過開啟Apple ID雙重認證，定期更換密碼等方式加強對Apple ID的安全保護，提升對Apple ID綁定的支付方式的管理，降低被盜刷的風險。

　　多名用戶表示，盜刷事件爆發後，均已取消了支付寶、微信支付對蘋果手機的免密支付權限，並在App Store中關閉了正在訂閱的自動續費服務。

　　　特 別 視 線

　　安卓為何逃過一劫

　　專家：軟體生態決定盜用蘋果ID價值更大

　　目前安卓手機沒有出現類似ID被盜刷的問題。為什麽安卓手機用戶逃過一劫？

　　范毅表示，近兩年，國內免費電子郵箱服務提供商偶爾會出現用戶資訊泄露的問題，而Apple ID以前只能通過電子郵箱進行申請。加上很多用戶為了方便記憶，習慣將所有密碼設定為同一個，就會讓非法用戶通過獲取到的電子郵箱名以及密碼進行撞庫從而碰撞出Apple ID账號以及密碼。而“國內安卓系統手機的默認ID是利用手機號進行登記的，在設定ID或登錄時必須要簡訊驗證，因此也導致破解難度較高。”

　　范毅說，事實上Apple也啟用了兩步驗證，利用簡訊或者受信任設備進行登錄，但目前很多用戶仍舊習慣使用Apple ID加密碼的非安全組合。

　　在Apple上進行任何充值業務都必須要借助Apple Store，而安卓系統的應用商店基本隻提供App下載，充值繳費並不通過應用商店，“兩種軟體不同的生態圈，也使得盜竊Apple ID 的價值比起盜竊安卓手機ID的價值要更大。”范毅表示。

　　事實上，自2016年起，網上就有關於利用Apple的充值功能進行盜刷的新聞，往年以以盜刷銀行卡居多。這是利用免密支付業務，盜竊錢財購買虛擬商品，進行套現的違法犯罪行為，范毅表示，“這種行為就是銷贓。”