蘋果用戶賬戶集體被盜刷,誰來擔責
原標題:蘋果用戶賬戶集體被盜刷,誰來擔責
圖蟲創意 圖
蘋果產品的安全性一直以來是大多數“果粉”的驕傲,然而最近蘋果用戶賬戶(Apple ID)被盜刷的事件頻頻發生,恐怕要讓不少消費者對蘋果的安全程度、保護隱私承諾感到失望了。
近日,全國各地陸續有蘋果用戶發現自己的賬戶被盜刷,用於在App Store中充值和購買產品,微博上“超700名蘋果ID被盜刷”的話題閱讀量已經超過三千萬。
遭遇盜刷的用戶自發組織了多個QQ羣商討解決辦法,有部分用戶在多次致電蘋果客服、向蘋果發送郵件後獲得了退款,但更多人還在等待。
安全隱患爆發
約一個月前,路明(化名)發現自己的蘋果ID無故被盜刷了900元,被用於在App Store中購買遊戲軟件。
彼時,蘋果用戶賬戶被盜刷的個案並不多,在致電蘋果客服後,路明在兩三天後收到了退款。
事件真正爆發是在10月。記者在一個有近200人的“蘋果ID被刷處理羣”中發現,ID被盜刷事件大多發生在9月底和10月初。
據羣內用戶描述,大多數用戶ID被盜刷主要用於爲Apple ID充值和在王者榮耀、魔力寶貝、魔域手遊等遊戲App內購買項目,每一筆費用從幾十元到上千元不等,羣內大多數用戶受損金額集中在1000元-5000元之間,有個別用戶受損金額過萬。
一位匿名人士稱,蘋果用戶受到的這波攻擊,很可能是有人收集郵箱、支付寶賬戶,通過撞庫攻擊(很多用戶在不同網站使用相同的帳號和密碼,黑客通過收集已泄露的帳號和密碼信息,生成對應的字典表,嘗試批量登陸其他網站,也就是通過用戶在A網站的賬戶嘗試登錄B網站,最終得到一系列可以登錄的賬戶),破解用戶的蘋果賬戶,再利用所得賬戶進行代充遊戲等操作。
同濟大學計算機應用專業、深蘭科技戰略技術研究員王雷博士向《國際金融報》記者表示,撞庫和釣魚是現在盜取用戶賬戶和密碼較常用的方式,因爲很多用戶在多個網站的賬戶和密碼相同,使得撞庫成功概率較大。
也有觀點認爲,蘋果用戶賬戶集體被盜可能與用戶在支付寶、微信支付等平臺上籤訂了免密支付協議有關。但王雷認爲,與平臺簽訂免密支付協議導致Apple ID被盜的邏輯是不對的,只能說因爲綁定了免密支付,使得黑客在盜取Apple ID和密碼後,能夠立刻沒有成本地盜取用戶資金。
對於用戶賬戶被盜刷情況以及對策等方面,記者向蘋果公司提出疑問,但截至發稿前未收到對方回覆。
退款程序複雜
路明順利地獲得了被盜刷金額的退款,但大多數蘋果用戶並沒有這樣的好運。
蘋果用戶賬戶被盜刷事件陸續發生後,有大量用戶致電蘋果客服,要求退款。但據媒體報道,部分消費者在多次聯繫蘋果客服後,對方僅 “表示同情”,並告知其無法退款。
記者在上述QQ羣內統計發現,截至10月11日,獲得全部或少部分退款的用戶相加起來也不到兩成。
有用戶甚至已經總結出蘋果客服的“套路”:先是索要訂單編號或進行個人驗證,幫助在系統上申請退款,但系統並不會輕易地通過退款申請。不少用戶已經分別與普通、主管、高級三級客服進行溝通,最後獲得的反饋仍是“在72小時內進行郵件回覆”。
而所謂的反饋郵件也陸續有用戶曬出截圖,蘋果公司在郵件中表示,案例經過審覈後,仍無法撤銷用戶賬號中未經授權交易的相關費用。而且,蘋果並未告知用戶其判斷能否退款的標準。
北京市康達律師事務所韓驍律師向《國際金融報》記者表示,蘋果公司拒絕退款、賠償的原因在於蘋果賬戶被盜存在多重原因,其中用戶也有一定責任。但即使如此,蘋果公司作爲App Store的服務提供者,也負有保障服務安全的義務。
在嘗試了致電客服、發送郵件、求助媒體、致電蘋果海外公司等多種方式後,10月11日晚間,有個別用戶在羣裏表示自己的退款申請通過了,這讓其他用戶看到了一絲轉機。
一位已獲得全部退款的用戶表示:“現在輿論壓力大了,審覈(情況)應該好點了。”
誰來擔責
事件發生後,蘋果公司、支付平臺、用戶三方中誰應該承擔主要責任引發了公衆熱議。
根據《網絡安全法》第25條規定,網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;在發生危害網絡安全的事件時,立即啓動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
這意味着,網絡運營商如果發生系統漏洞導致蘋果賬戶被泄露,從而使用戶賬戶被盜,那麼運營商應承擔責任。
用戶的自動扣費記錄頁面顯示,“App Store,Apple Music,& iCloud由雲上貴州運營”,因此不少用戶和網友將矛頭指向了雲上貴州。
雲上貴州公司內部人士向《國際金融報》記者表示,可能用戶對展示的頁面存在誤解,認爲這三項業務均由雲上貴州負責,事實上雲上貴州只負責iCloud業務,如果用戶賬戶發生問題,還是建議聯繫蘋果總部。
公開資料顯示,今年2月28日起,中國內地的iCloud服務將轉由雲上貴州大數據產業發展有限公司負責運營。而蘋果官網上,除了中國內地的 iCloud 服務外,並未顯示雲上貴州有負責運營其他蘋果公司業務。
由於大部分被盜刷的用戶開通了免密支付,所以有觀點認爲支付寶、微信支付等平臺也需要承擔一定的責任。
《電子商務法》(已頒佈並將施行)規定,電子支付服務提供者爲電子商務提供電子支付服務,應當遵守國家規定,告知用戶電子支付服務的功能、使用方法、注意事項、相關風險和收費標準等事項,不得附加不合理交易條件。電子支付服務提供者提供電子支付服務不符合國家有關支付安全管理要求,造成用戶損失的,應當承擔賠償責任。
10月10日,支付寶官方微博發佈了關於蘋果手機的安全提示,稱監測到部分蘋果用戶ID被盜並遭到資金損失。支付寶已經多次聯繫蘋果公司並推動其儘快定位被盜原因,並建議用戶調低蘋果支付免密支付額度。
韓驍律師向《國際金融報》記者表示,盜刷用戶在另外的蘋果設備上下載蘋果應用,應屬於異常登錄,蘋果公司應盡到異常登錄提示的義務,如未盡到此義務而導致用戶ID被盜刷,應負未盡到合理安全保障義務的違約責任,受損失用戶可向蘋果公司索賠。
針對此次事件,王雷博士建議,用戶要做好隱私保護,設置多個密碼保管自己的賬戶;企業要進一步完善技術、系統和業務邏輯;從技術角度來看,此次被盜取的ID使用的是文本類型的賬戶和密碼,未來要使用和發展更加智能的技術,例如生物識別技術、人臉識別技術等,以更好地保護用戶隱私。
