专栏首页FreeBuf中消协就Apple ID盗刷事件向苹果施压,但我想给苹果洗地……

中消协就Apple ID盗刷事件向苹果施压,但我想给苹果洗地……

前段时间的 Apple ID 盗刷事件想必大家均有所耳闻,而最终事发原因似乎也大多数归咎于用户账户密码被泄露,导致异地登陆消费,虽然有用户表示找苹果客服申请退款成功,但目测只是少数。这件事成功引起了中消协的注意,发文称:消费者有权选择是否开通免密支付。

由于Apple ID 的机制,不论是购买软件还是软件内购消费,全部都是通过App Store 付费渠道的,这种方式在苹果看来是比较安全的。因此如果是Apple ID相关的发生盗刷的话,只会是软件内购或者App Store购买软件消费,这次也不例外。

盗刷事件引多方回应

一旦发生盗刷,那么出问题的可能是苹果本身、绑定的支付渠道,还有很关键的一个是消费者自己。

事情发生之后,我们就看到了三方互相甩锅的场景:

消费者:苹果发短信提示账号内购买了XXX,不是我操作的,是苹果的锅; 支付工具:苹果的漏洞,不是我; 苹果:没发现系统漏洞,建议消费者开启双重验证。

看到不少消费者都出现了问题,央视曝光了这次风波,中消协也开始关注这件事情。最终得出了结论如下:

1.经营者应当履行保障消费者人身、财产安全的义务 2.无论消费者是否开通免密支付,经营者都应保障消费者的交易安全 3.消费者有权选择是否开通免密支付,经营者应当尊重消费者的选择权 4.经营者没有证据证明支付行为是消费者的自主行为,在消费者没有故意或重大过失行为导致财产的丢失或损失的情况下,相关经营者都应该承担相应的责任。 5.经营者收集消费者的个人信息应当正当、必要,并对收集的消费者个人信息负有保密义务,不得泄露。 6.经营者采取综合措施切实保证交易安全 7.经营者不得利用格式合同损害消费者权益 8.消费者账号被盗刷后经营者应承担相应的赔偿责任

中消协这次的积极态度确实令人满意,而且每一条都确实是对消费者有利的。但在这个时候看这份公告,很容易让人觉得这次事件是苹果的责任。苹果的Apple ID 安全措施不够完善确实应该承担一些责任,我觉得消费者本身更应该进行反思。

国内用户对免密支付基本都不放心

其实,通过App Store 消费的过程严格意义来说并不算是免密支付,每一次消费都是需要输入Apple ID密码或者通过人脸识别、指纹识别等验证,而免密只是在调用银联、支付宝、微信支付等渠道是不用输入密码才称之为免密,如果这一次事故是免密支付的责任,担责的可能不应该是苹果一家。

而且这种免密支付绑定行为在共享单车、滴滴出行等众多App里面都存在。如果以“Apple ID、盗刷”等关键词去搜索的话,你会发现其实一直以来这种新闻都是存在的,即便是在Apple Store不支持绑定支付宝、微信支付的阶段。

在中消协的公告里,有一点我是相当认同的——消费者有权选择是否开通免密支付。

这一点可能是苹果延续了国外的支付习惯,使用信用卡的用户可能都有经历,在使用Visa、万事达等国际信用卡的时候,是不需要输入密码的,基本是刷卡即走的状态。也许苹果也把这种支付习惯带到了国内,包括笔者自己其实对这种支付方式并不放心。在一些共享单车App、外卖软件、打车软件里,付费方式也是支持绑定支付宝或者微信的免密支付的,但是用户是有选择权不使用的。每次付费都需要调用支付宝或者微信支付,再次输入对应支付渠道的支付密码才能完成交易。

在这次中消协施压之后,我也希望苹果在这方面给予用户以选择权,毕竟数据都可以迁至云上贵州,还有什么不可能的。

消费者本身的安全意识问题不该忽略

那么现在,用户自己头顶上这口无形的大锅我也想来说道一番。无论是此前时有发生的盗刷事件还是这次相对集中的盗刷事件,大部分受害者是没有开通Apple ID 的双重验证的,苹果在本次事件的回应中也有提到建议开启双重验证。

这个功能的好处在于,一旦你的Apple ID尝试登陆一台新的设备时,会在已登录受信任的设备上弹出登录提醒以及一条验证码,当然你也可以选择使用绑定的手机短信验证。

这种方式基本是不大可能被黑掉的,除非你的手机号也遭到劫持了。

因此,没有开启双重验证的用户发生被盗刷的概率瞬间大了很多。毕竟Apple ID的账号密码被盗的可能性比较大,撞库、钓鱼等方式,黑客完全可以直接从用户手中就“偷取”账户密码,如此一来登录新的设备无须验证,恰好Apple ID绑定了银行卡、支付宝或者微信支付等方式的话,在免密支付的协议下登陆密码即可作为支付密码产生消费。

至少在这一环上,主要的责任是在消费者身上,提供支付工具的企业以及苹果可能都属于受害者。如果真要给苹果盖一口锅的话,那就是:为什么不强制消费者开启双重认证?不知道这样会不会引来“消费者选择权”的抨击……

所以,原谅我一直不理解有人偏不开双重认证,我相信苹果在这次按照要求整改完成之后Apple ID盗刷的事件依然不会减少。在目前阶段,如果依然担心Apple ID被盗刷的话,建议开启支付宝或者微信支付里免密支付限额功能,有效止损。

这次盗刷风波基本因中消协的出面会平息下去,至于责任归属看似模糊实际也很明朗。我唯一好奇的是,盗刷事件原本只是偶尔出现,这次却突然形成一波小爆发,难不成又是哪位大佬家发生了严重的数据泄露?

*本文作者:Andy.i,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-10-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 记一次勒索病毒的攻防

    话说3.14号早上,小Z像平常一样来到公司,发现一帮同事在一台电脑前围观,不过各个表情诧异的样子,他也好奇的凑过去看看有啥新奇的,电脑里除了系统文件,无一例外被...

    FB客服
  • 一例门罗币矿工Downloader的DGA解析

    Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名,并将其发布到 Twitter:

    FB客服
  • 绑定金融账号的Apple ID有风险,外媒也来支招

    根据Bloomberg的最新报道,近期发生了一系列针对天朝人民的网络攻击,网络犯罪分子利用窃取来的Apple ID来入侵用户的账号,并从中窃取大量金钱。随后,腾...

    FB客服
  • 独家专访 | 揭秘LinkedIn总部数据科学战队:技术强者常有,顶级团队胜在软实力

    大数据文摘
  • 【python】Tkinter窗口可视化二

    今天我们举办了送老晚会,不知不觉,毕业是真的近了,还有整整一个月,寝室就不在属于自己了。珍惜眼前的时光,加油,坚持下来,每天进步一丢丢!

    zenRRan
  • PE文件和COFF文件格式分析——导出表

            在之前的《PE可选文件头》相关博文中我们介绍了可选文件头中很多重要的属性,而其中一个非常重要的属性是(转载请指明来源于breaksoftware...

    方亮
  • HTML5新特性1 <aside> 标签

    <aside> 标签定义其所处内容之外的内容 aside 的内容应该与附近的内容相关。 网站中主要有以下两种使用方法

    JavaEdge
  • 数感一分钟05 | 小兔子要过河

    用户7378374
  • 如何在Debian 8上将ngx_pagespeed添加到Nginx中

    ngx_pagespeed简称pagespeed,是一个Nginx模块,旨在通过减少资源的大小以及客户端浏览器加载它所需的时间来自动优化您的网站。如果您还不熟悉...

    彼岸轮回
  • 借助PageSpeed,为Nginx网站服务器提速

    网站加载速度越快,访客互动性、留住率和转换率就越高,这早已不是什么秘密。网站每延迟 100 毫秒,亚马逊的销售额就会减少 1%;延迟增加 500 毫秒,这意味着...

    张戈

扫码关注云+社区

领取腾讯云代金券