苹果用户被盗刷 用户最高损失上万该由谁来担责?

近年来,用户的个人隐私保护意识不断加强,苹果的安全性一直都是“果粉”引以为豪的,但是近日苹果也不安全了!日前,苹果用户被爆集体被盗刷的事件,用户最高损失金额上万元,那么,用户账户集体被盗刷谁来担责?

1、安全隐患爆发

约一个月前,路明(化名)发现自己的苹果ID无故被盗刷了900元,被用于在AppStore中购买游戏软件。彼时,苹果用户账户被盗刷的个案并不多,在致电苹果客服后,路明在两三天后收到了退款。

苹果用户遭集体盗刷损失惨重
苹果用户遭集体盗刷损失惨重

事件真正爆发是在10月。记者在一个有近200人的“苹果ID被刷处理群”中发现,ID被盗刷事件大多发生在9月底和10月初。

据群内用户描述,大多数用户ID被盗刷主要用于为AppleID充值和在王者荣耀、魔力宝贝、魔域手游等游戏App内购买项目,每一笔费用从几十元到上千元不等,群内大多数用户受损金额集中在1000元-5000元之间,有个别用户受损金额过万。

一位匿名人士称,苹果用户受到的这波攻击,很可能是有人收集邮箱、支付宝账户,通过撞库攻击(很多用户在不同网站使用相同的帐号和密码,黑客通过收集已泄露的帐号和密码信息,生成对应的字典表,尝试批量登陆其他网站,也就是通过用户在A网站的账户尝试登录B网站,最终得到一系列可以登录的账户),破解用户的苹果账户,再利用所得账户进行代充游戏等操作。

同济大学计算机应用专业、深兰科技战略技术研究员王雷博士向《国际金融报》记者表示,撞库和钓鱼是现在盗取用户账户和密码较常用的方式,因为很多用户在多个网站的账户和密码相同,使得撞库成功概率较大。

也有观点认为,苹果用户账户集体被盗可能与用户在支付宝、微信支付等平台上签订了免密支付协议有关。但王雷认为,与平台签订免密支付协议导致AppleID被盗的逻辑是不对的,只能说因为绑定了免密支付,使得黑客在盗取AppleID和密码后,能够立刻没有成本地盗取用户资金。

对于用户账户被盗刷情况以及对策等方面,记者向苹果公司提出疑问,但截至发稿前未收到对方回复。

2、退款程序复杂

路明顺利地获得了被盗刷金额的退款,但大多数苹果用户并没有这样的好运。苹果用户账户被盗刷事件陆续发生后,有大量用户致电苹果客服,要求退款。但据媒体报道,部分消费者在多次联系苹果客服后,对方仅“表示同情”,并告知其无法退款。

记者在上述QQ群内统计发现,截至10月11日,获得全部或少部分退款的用户相加起来也不到两成。有用户甚至已经总结出苹果客服的“套路”:先是索要订单编号或进行个人验证,帮助在系统上申请退款,但系统并不会轻易地通过退款申请。不少用户已经分别与普通、主管、高级三级客服进行沟通,最后获得的反馈仍是“在72小时内进行邮件回复”。

而所谓的反馈邮件也陆续有用户晒出截图,苹果公司在邮件中表示,案例经过审核后,仍无法撤销用户账号中未经授权交易的相关费用。而且,苹果并未告知用户其判断能否退款的标准。

北京市康达律师事务所韩骁律师向《国际金融报》记者表示,苹果公司拒绝退款、赔偿的原因在于苹果账户被盗存在多重原因,其中用户也有一定责任。但即使如此,苹果公司作为AppStore的服务提供者,也负有保障服务安全的义务。

在尝试了致电客服、发送邮件、求助媒体、致电苹果海外公司等多种方式后,10月11日晚间,有个别用户在群里表示自己的退款申请通过了,这让其他用户看到了一丝转机。

一位已获得全部退款的用户表示:“现在舆论压力大了,审核(情况)应该好点了。”

3、谁来担责?

事件发生后,苹果公司、支付平台、用户三方中谁应该承担主要责任引发了公众热议。

根据《网络安全法》第25条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

这意味着,网络运营商如果发生系统漏洞导致苹果账户被泄露,从而使用户账户被盗,那么运营商应承担责任。用户的自动扣费记录页面显示,“AppStore,AppleMusic,&iCloud由云上贵州运营”,因此不少用户和网友将矛头指向了云上贵州。

云上贵州公司内部人士向《国际金融报》记者表示,可能用户对展示的页面存在误解,认为这三项业务均由云上贵州负责,事实上云上贵州只负责iCloud业务,如果用户账户发生问题,还是建议联系苹果总部。

公开资料显示,今年2月28日起,中国内地的iCloud服务将转由云上贵州大数据产业发展有限公司负责运营。而苹果官网上,除了中国内地的iCloud服务外,并未显示云上贵州有负责运营其他苹果公司业务

由于大部分被盗刷的用户开通了免密支付,所以有观点认为支付宝、微信支付等平台也需要承担一定的责任。

《电子商务法》(已颁布并将施行)规定,电子支付服务提供者为电子商务提供电子支付服务,应当遵守国家规定,告知用户电子支付服务的功能、使用方法、注意事项、相关风险和收费标准等事项,不得附加不合理交易条件。电子支付服务提供者提供电子支付服务不符合国家有关支付安全管理要求,造成用户损失的,应当承担赔偿责任。

10月10日,支付宝官方微博发布了关于苹果手机的安全提示,称监测到部分苹果用户ID被盗并遭到资金损失。支付宝已经多次联系苹果公司并推动其尽快定位被盗原因,并建议用户调低苹果支付免密支付额度。

韩骁律师向《国际金融报》记者表示,盗刷用户在另外的苹果设备上下载苹果应用,应属于异常登录,苹果公司应尽到异常登录提示的义务,如未尽到此义务而导致用户ID被盗刷,应负未尽到合理安全保障义务的违约责任,受损失用户可向苹果公司索赔。

针对此次事件,王雷博士建议,用户要做好隐私保护,设置多个密码保管自己的账户;企业要进一步完善技术、系统和业务逻辑;从技术角度来看,此次被盗取的ID使用的是文本类型的账户和密码,未来要使用和发展更加智能的技术,例如生物识别技术、人脸识别技术等,以更好地保护用户隐私。