近日,全国多地苹果手机用户反映他们在苹果支付上遭遇了盗刷。目前,了解到的被盗刷人数,预计超过700人。记者在调查中发现,此次大面积盗刷和苹果及支付宝开通的免密支付功能有着密切关联。
苹果应用商店强制用户“免密支付”
9月29号,北京的吴女士突然收到了银行发来的提示短信,告知其账户出现安全原因暂被管控。当吴女士打开支付宝后发现,短短6分钟就出现了20笔消费,总金额超过5000多元。吴女士本以为是支付宝账户被盗,给支付宝客服打过电话才知并非如此。
苹果手机用户吴女士:支付宝说是因为都是在苹果的商店里消费的东西,用了免密支付,所以支付宝认为是我的苹果ID被盗了。
支付宝公司客服人员:支付宝和苹果签约了免密支付,一个协议支付的代扣。如果签约了之后,确实是不需要本人去输密码,或者是不需要操作,会产生自动扣款扣费的情况。
吴女士的支付宝消费记录显示,被盗刷的20笔交易分别为向苹果应用商店充值和购买一款名为“魔力宝贝”的游戏道具,交易记录中被标注了“APP内购买项目”。
在向苹果客服进行情况反馈的三个工作日后,吴女士收到了苹果公司发来的电子邮件,称“无法撤销账号中未经授权的相关费用”。
同样遭遇账户被盗无法追回损失的还有浙江台州的刘小姐,10月9号,也就是她开通苹果账号中的支付宝支付功能的第二天,就遇到了盗刷的情况,先后出现了8笔消费,损失3000多元。刘小姐说,苹果账号在开通支付宝支付功能时,必须同意开通“免密支付”。
记者还发现,苹果应用商店开通微信支付的前提也是默认同意开通“免密支付功能”。然而,在被问到为何必须强制开通免密支付功能时,苹果客服却表示不太清楚。
苹果公司客服人员:如果说您是通过支付宝免密扣款,这个我确实也不太清楚,您可以联系支付宝确认一下。
记者对此次苹果用户出现集体被盗刷的原因进行了梳理,首先被盗刷的用户都是在苹果手机的设置里授权开通了第三方的“付款”,这里包括支付宝、微信、银行卡等付款方式;另外,用户在开通第三方的“付款方式”时,苹果公司给的选项只有“免密支付”,否则就无法使用,用户想要使用支付宝、微信等支付手段就必须同意授权,进而导致了这次因“免密支付”而出现的盗刷。
强制“免密”方便用户还是苹果获益?
目前,苹果已经向开通第三方支付的用户,增加了支付宝、微信客户端的免密支付安全验证和短信验证。那么,苹果强制用户开通免密功能的背后,是否存在对消费者权益的侵犯呢?
记者在苹果手机“付款信息”中发现,开通支付宝支付功能的界面中出现了一份名为 《支付宝免密扣款授权的协议》,点击协议后记者发现,该份协议由支付宝和苹果用户签订,并明确了:“支付宝只是被授权指令的执行方,除非支付宝没有依照该特定第三方的指令进行操作,或者操作指令错误,否则支付宝不对本服务产生的损失和责任负责”。
记者在自己的支付宝账户设置中发现,已经签约开通了苹果应用商店的“免密支付”功能,而在设置“安全月限额”一栏中记者发现,限额被默认选择了“无限额”,而不是其提供的“有限额”选项。
“免密支付”必须同意,额度又默认“无限额”,如此的设置增加了用户潜在的安全隐患。而此次苹果用户遭遇盗刷,用户在向苹果公司进行权益申诉时却发现,默认同意的协议里并没有苹果公司应有的责任和义务。
中国人民大学民商法研究中心副主任姚欢庆:实际上,在免密支付的部分中,它的协议并不是跟第三方平台也就是苹果来签的,它是跟支付宝公司签订的免密支付的协议。支付宝公司会说,协议中已经明确规定了权利义务的问题,所以,你既然同意了免密支付这种条款的点击,说明你就认可了,由此所产生的风险由消费者自己来承担。
将用户引导给支付宝签订《免密支付协议》,苹果公司就可能规避潜在的法律风险。而让用户开通免密支付功能,又会带来什么样的利益呢?苹果公司工作人员告诉记者,用户通过苹果平台提供支付功能中的每一笔消费,苹果公司会从中按比例进行提成,“免密支付”的开通无疑提高了用户的消费便捷度,从而给苹果公司带来更多的分成。
有法律专家就指出,强制开通用户的“免密支付”功能却不与用户直接签署协议,如此的做法不仅侵犯了消费者的知情权和自由选择权,也造成了用户的维权难。
中国政法大学传播法研究中心副主任朱巍:因为最开始就没有协议,没有协议本身就是一个缺失,没有提示义务,没有网民协议,没有免责声明,而且最重要的是没有告诉消费者一旦丢失手机、丢失移动端的时候,应当用什么方式及时止损,它都没有说。所以这种情况,苹果是有责任的,而且这种责任是不能推卸的。
账号被公然交易 “免密支付”背后隐患大
用户和苹果之间支付协议的“被缺失”,不仅让用户在遭遇账户安全风险时无法维护自身权利,也给不法分子提供了可乘之机。记者在深入调查后发现,大量苹果账户在一些社交平台被公然出售。
网络安全工程师向记者展示了QQ群里出现的苹果账户交易黑色产业链。
网络安全工程师刘沛:在QQ直接搜索“批发Apple ID”,可以发现非常多的这个QQ群,随机点开第一个,里面就有958个人。群介绍,包括出售苹果账号批发出售,然后出售苹果Apple ID白号,过检查的ID号,以及等等其他的一些账号。
据网络安全工程师分析,此次苹果账户出现集体被盗刷的情况很有可能是邮箱用户名和密码被黑客窃取后采取大量“试错操作”,最终破解出苹果用户的账户和密码,从而利用免密支付进行盗刷。
网络安全工程师刘沛:前几年,听说过非常多的邮箱数据泄露。这时,就掌握了一群人的邮箱和密码,能够成功登录你的邮箱。这个时候就可以去直接尝试,看是否在苹果注册过,然后对应了一个苹果ID。
有互联网法律学者指出,目前在我国飞速发展的快捷支付,虽然极大地方便了用户的体验,但也带来了账户资金安全的多重风险。相关互联网支付的法律法规应该不断补充完善,从制度上发挥约束作用。
中国互联网协会法治工作委员会副秘书长胡钢:第一,要有明确的保险制度;第二,应该有具体的法律设计,保障我们的普通的用户只承担特别有限的责任。这个都应该是由相关的保险经营分担,或者由相关的商家进行承担。这样才是一个合理的一个制度安排。