澎湃新闻记者 周玲

近期，有不少用户反映其帐号被盗，黑客利用帐号的免密支付功能购买游戏币等虚拟商品，造成数百元至上千元的资金损失，有的人甚至损失了数万元。

一位安全技术专家告诉澎湃新闻，用户被盗刷的现象自苹果推出免密码支付以来就一直存在，“从8、9月份开始就有很多用户反映这种情况，我身边也有人被攻击过。”为此，该安全技术专家建议用户尽早启用双因素认证，避免后续攻击。

所谓“免密码支付”，是指无需密码即可进入苹果账户，或在一定金额内无需密码的支付方式。黑客利用这一漏洞，通过网上购买虚拟商品套现。近日，有用户反映，自己的支付宝、微信支付大部分被盗。其实，信用卡、借记卡也支持免密码支付，同样存在被盗风险。

央视财经报道称，信用卡被盗人数估计超过700人。苹果尚未对此波攻击做出回应，苹果客服给出的解决方案并不给所有用户退款。

上海大邦律师事务所高级合伙人游云婷在接受澎湃新闻采访时表示，苹果用户信用卡诈骗事件相当复杂，很难确定责任人是谁。

可疑的“免密码”支付

目前，苹果已经为开通第三方支付的用户添加了支付宝和微信客户端的免密码支付安全验证和短信验证。

据央视财经报道，记者在苹果手机的“支付信息”中发现，在开通支付宝支付功能的界面出现了一份名为《支付宝免密码扣款授权协议》的协议。点击该协议后，记者发现，该协议是支付宝与苹果用户共同签署的，其中明确写明：“支付宝仅为授权指令的执行方，除非支付宝未按照特定第三方的指令进行操作，或操作指令有错误，否则支付宝不承担因本服务产生的损失及责任。”

记者在其支付宝账户设置中发现，其已签约开通苹果应用商店“免密码支付”功能，但在设置“安全月度限额”时，却发现限额默认选择的是“无限制”，而非提供的“有限限额”选项。

上述报道认为，“免密码支付”必须经过约定，且默认限额为“无限制”，这增加了用户的潜在安全风险。但当苹果用户此次遭遇信用卡诈骗时，用户向苹果投诉，发现默认协议中并未包含苹果的责任和义务。

有法律专家指出，在未与用户直接签订协议的情况下强制用户开通“免密码支付”功能，不仅侵犯了消费者的知情权和自由选择权，也使得用户维权变得困难。

技术专家：黑客容易攻击数据库，建议用户启用双因素身份验证

那么，为何信用卡诈骗案近来如此猖獗、黑客又为何如此容易得逞呢？

“这些信用卡被盗的用户，都没有使用双因素认证，现在厂商都在逐步引导用户做双因素认证。在我们这个安全圈，系统账号的密码是无解的，需要借助短信验证码、动态密码生成器等进行二次验证，才能保证安全。”上述技术专家称，近年来数据库泄露事件频发，大量用户信息被泄露，成为黑客攻击数据库的数据来源。

“在那个小圈子里，有人专门整理这些信息以牟利。一些用户使用相同的密码登录不同的账户。一旦你的密码泄露，黑客就会用它来与数据库碰撞并尝试你的苹果账户。很容易被黑客入侵，一旦成功，他们就会窃取你的钱财。”专家建议用户赶紧激活双重身份验证。

除苹果外，其他手机公司也支持“免密码支付”，但诈骗的情况较少。

该技术专家表示，其他手机品牌自有支付方式的用户较少，更多用户直接使用支付宝、微信等第三方支付，因此支付盗刷的情况较少。

对于用户来说，打开“ ”应用，使用身份证登录，打开“安全”栏进入双因素密码认证设置。如果还是不确定，可以减少免密支付的金额，甚至可以在“支付信息”栏选择“无”。

苹果客服给出三种解决方案

信用卡被盗的用户可以与苹果客服沟通申请退款，苹果将最终决定是否向用户退款。

根据用户反馈，苹果客服流程最终给出了三种解决方案：部分用户被盗款项获得全额赔偿；部分用户获得部分赔偿，部分订单未获批准；而还有一部分用户非常倒霉，苹果根本没有赔偿他们。

据澎湃新闻报道，苹果有一套技术机制来验证用户的信用卡是否被盗，并最终做出是否赔偿的决定。苹果客服也回应用户称，并不清楚原因，只告知用户公司内部的流程。

此前苹果中国方面表示将积极沟通处理该问题，但截至目前苹果中国方面尚未给出官方解决方案。

支付宝此前指出，已发现部分苹果用户账号被盗，导致相关账号绑定的支付工具遭受资金损失。支付宝称已多次与苹果公司联系，督促其尽快查找被盗原因，完善安全防范措施，彻底解决用户权益受损问题。苹果回应称，正积极解决该问题。

上述安全专家还指出，苹果应该在用户账号被盗方面做出更多技术调整，“国内领先的电商会对用户从其他地方登录等异常行为进行提醒，但苹果没有。在这方面，苹果应该向电商学习，这样可以规避很多风险。”

这是谁的错？谁该负责？

上海大邦律师事务所高级合伙人游云婷在接受澎湃新闻采访时表示，苹果用户信用卡诈骗事件的责任很难确定。

“造成巨额损失的一个可能是苹果存在漏洞，导致用户密码丢失；另一个可能是用户在其他网站或者自身系统存在漏洞而丢失了用户名和密码，然后黑客利用其他地方的用户名和密码造成泄密。”游云婷说，由于基础事实难以认定，民事赔偿问题也较难解决。

据了解，按照黑客圈的商业逻辑，如果大公司发现漏洞，就可以卖钱，一个漏洞就值几百万美元，人们不会选择通过窃取用户账号这种费时费力的方式来套现。

此前有报道称，用户账户可能被苹果内部人员窃取。

不过上述安全专家表示，目前没有证据证明这是内部人员所为，可能性也不高，数据库碰撞的可能性更高。

游云婷表示，从法律上来说，这类案件属于刑事犯罪，理论上应该先把黑客抓捕，确定他窃取密码的方法，再确定是苹果的责任、用户的责任、还是第三方网站的责任，再确定谁该赔偿。

“我建议苹果报警，因为这是用户的损失，不是苹果的损失，单个用户很难达到立案的标准，只有用户集体去某个公安局报案才有可能。苹果应该做的是收集被盗信息的用户信息，然后和用户一起报案。”游云婷说。

本期实习编辑 周昱华