中消协就Apple ID盗刷事件向苹果施压,但我想给苹果洗地……

前段时间的 Apple ID 盗刷事件想必大家均有所耳闻,而最终事发原因似乎也大多数归咎于用户账户密码被泄露,导致异地登陆消费,虽然有用户表示找苹果客服申请退款成功,但目测只是少数。这件事成功引起了中消协的注意,发文称:消费者有权选择是否开通免密支付。

由于Apple ID 的机制,不论是购买软件还是软件内购消费,全部都是通过App Store 付费渠道的,这种方式在苹果看来是比较安全的。因此如果是Apple ID相关的发生盗刷的话,只会是软件内购或者App Store购买软件消费,这次也不例外。

盗刷事件引多方回应

一旦发生盗刷,那么出问题的可能是苹果本身、绑定的支付渠道,还有很关键的一个是消费者自己。

事情发生之后,我们就看到了三方互相甩锅的场景:

消费者:苹果发短信提示账号内购买了XXX,不是我操作的,是苹果的锅; 支付工具:苹果的漏洞,不是我; 苹果:没发现系统漏洞,建议消费者开启双重验证。

看到不少消费者都出现了问题,央视曝光了这次风波,中消协也开始关注这件事情。最终得出了结论如下:

1.经营者应当履行保障消费者人身、财产安全的义务 2.无论消费者是否开通免密支付,经营者都应保障消费者的交易安全 3.消费者有权选择是否开通免密支付,经营者应当尊重消费者的选择权 4.经营者没有证据证明支付行为是消费者的自主行为,在消费者没有故意或重大过失行为导致财产的丢失或损失的情况下,相关经营者都应该承担相应的责任。 5.经营者收集消费者的个人信息应当正当、必要,并对收集的消费者个人信息负有保密义务,不得泄露。 6.经营者采取综合措施切实保证交易安全 7.经营者不得利用格式合同损害消费者权益 8.消费者账号被盗刷后经营者应承担相应的赔偿责任

中消协这次的积极态度确实令人满意,而且每一条都确实是对消费者有利的。但在这个时候看这份公告,很容易让人觉得这次事件是苹果的责任。苹果的Apple ID 安全措施不够完善确实应该承担一些责任,我觉得消费者本身更应该进行反思。

国内用户对免密支付基本都不放心

其实,通过App Store 消费的过程严格意义来说并不算是免密支付,每一次消费都是需要输入Apple ID密码或者通过人脸识别、指纹识别等验证,而免密只是在调用银联、支付宝、微信支付等渠道是不用输入密码才称之为免密,如果这一次事故是免密支付的责任,担责的可能不应该是苹果一家。

而且这种免密支付绑定行为在共享单车、滴滴出行等众多App里面都存在。如果以“Apple ID、盗刷”等关键词去搜索的话,你会发现其实一直以来这种新闻都是存在的,即便是在Apple Store不支持绑定支付宝、微信支付的阶段。

在中消协的公告里,有一点我是相当认同的——消费者有权选择是否开通免密支付。

这一点可能是苹果延续了国外的支付习惯,使用信用卡的用户可能都有经历,在使用Visa、万事达等国际信用卡的时候,是不需要输入密码的,基本是刷卡即走的状态。也许苹果也把这种支付习惯带到了国内,包括笔者自己其实对这种支付方式并不放心。在一些共享单车App、外卖软件、打车软件里,付费方式也是支持绑定支付宝或者微信的免密支付的,但是用户是有选择权不使用的。每次付费都需要调用支付宝或者微信支付,再次输入对应支付渠道的支付密码才能完成交易。

在这次中消协施压之后,我也希望苹果在这方面给予用户以选择权,毕竟数据都可以迁至云上贵州,还有什么不可能的。

消费者本身的安全意识问题不该忽略

那么现在,用户自己头顶上这口无形的大锅我也想来说道一番。无论是此前时有发生的盗刷事件还是这次相对集中的盗刷事件,大部分受害者是没有开通Apple ID 的双重验证的,苹果在本次事件的回应中也有提到建议开启双重验证。

这个功能的好处在于,一旦你的Apple ID尝试登陆一台新的设备时,会在已登录受信任的设备上弹出登录提醒以及一条验证码,当然你也可以选择使用绑定的手机短信验证。

这种方式基本是不大可能被黑掉的,除非你的手机号也遭到劫持了。

因此,没有开启双重验证的用户发生被盗刷的概率瞬间大了很多。毕竟Apple ID的账号密码被盗的可能性比较大,撞库、钓鱼等方式,黑客完全可以直接从用户手中就“偷取”账户密码,如此一来登录新的设备无须验证,恰好Apple ID绑定了银行卡、支付宝或者微信支付等方式的话,在免密支付的协议下登陆密码即可作为支付密码产生消费。

至少在这一环上,主要的责任是在消费者身上,提供支付工具的企业以及苹果可能都属于受害者。如果真要给苹果盖一口锅的话,那就是:为什么不强制消费者开启双重认证?不知道这样会不会引来“消费者选择权”的抨击……

所以,原谅我一直不理解有人偏不开双重认证,我相信苹果在这次按照要求整改完成之后Apple ID盗刷的事件依然不会减少。在目前阶段,如果依然担心Apple ID被盗刷的话,建议开启支付宝或者微信支付里免密支付限额功能,有效止损。

这次盗刷风波基本因中消协的出面会平息下去,至于责任归属看似模糊实际也很明朗。我唯一好奇的是,盗刷事件原本只是偶尔出现,这次却突然形成一波小爆发,难不成又是哪位大佬家发生了严重的数据泄露?

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-10-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏大数据文摘

2014国内外数据泄密事件大盘点

2174
来自专栏华章科技

原始数据哪里找?这些网站要用好!|200个国内外经济/金融/行研/咨询数据网站大全

资料搜集是个相当繁琐与累的工作,也是投资入门的基本,良好的信息资料搜集能力有利于我们快速了解投资主体的基本情况,为后续的调研及一手资料的获得打下较好的基础。

4271
来自专栏程序员宝库

微信又挂了?官方回应,目前已修复;IJCAI最佳论文重磅出炉!印度大佬身家一度超马云成亚洲新首富

7 月 16 日下午,微信公众平台的文章突然出现无法打开的情况,页面显示“系统出错”;不过微信的聊天等功能不受影响。

992
来自专栏云计算D1net

CIO如何才能保障移动安全

根据某国内前著名安全厂商的报告指出,2013年全年中中国网民被病毒感染11.45亿人次,超过2300万台电脑遭受攻击,平均每个人每7天会受到一次攻击。而导致...

2927
来自专栏玄魂工作室

安全快讯合集

2. Google 披露 Fortnite Android 版安全漏洞,Epic 抨击 Google 不负责任

761
来自专栏企鹅号快讯

知名社工库网站LeakedSource运营者被捕 或面临10年监禁

“用指尖改变世界” ? 加拿大当局已经逮捕了一名安大略省男子,指控他经营一个网站,该网站从大约三十亿个在线账户中收集“被盗”的个人身份记录和证件,并将通过出售以...

5998
来自专栏漏斗社区

专属| 200余个恶意程序被曝光

通过自主监测和样本交换形式,国家互联网应急中心近日共发现202个窃取用户个人信息的恶意程序变种,感染用户3822个。该类病毒通过短信进行传播会私自窃取用户短信和...

1305
来自专栏FreeBuf

浅析煤炭企业如何进行工控安全建设

煤炭工业控制系统是整个煤炭企业安全生产监控系统信息的集成,它需要一个快速、安全、可靠的网络平台为大量的信息流动提供支撑,同时要有一个功能全面的安全生产信息应用系...

1023

忠诚点数体系和区块链

原文地址:https://bitsonblocks.net/2016/05/04/on-loyalty-point-schemes-and-blockchain...

3613
来自专栏安恒信息

手机购年货需警惕吸费应用,病毒木马多伪装成电商软件

马年春节即将到来,年货市场提前火爆。与以往不同的是,今年随着智能手机的普及和手机购物方式的流行,手机买年货已经成为时下家庭的首选。然而,手机网购...

3394

扫码关注云+社区

领取腾讯云代金券