在几个Apple ID被盗的QQ维权群里,来自全国各地的受害者近一千人。
“还有很多人Apple ID被盗了根本不知道,有些受害者没有参与维权,实际受害人数应该远远超过这个数字。”从事多年网络安全工作的黄杨(化名)称。
在他看来,这是一条百分之百针对中国苹果手机用户的黑色产业链,团队作案,规模不小。
随后,《今晚财讯》记者被拉到一个Apple ID被盗维权群里,有400多名受害者在群里商量该如何去跟苹果维权。他们被盗时间从今年2月到10月,其中9-10月被盗用户数占大多数。被盗刷金额从几百至数万元不等,大多集中在2000-3000元。
黄杨称,他们一直在追踪,并最终发现这是一条黑产。“如果能获得几千万到上亿元的资金,对任何一个黑产团队都是非常大的收入了。”
“这次被盗,不像是黑客攻破了苹果手机的漏洞,反倒是撞库或内部人作案的可能性更大。”北京白帽汇科技CEO赵武告诉记者。
所谓撞库,是指黑客利用网络上已经泄露的大量的用户数据,利用用户相同的习惯(相同的用户名和密码),去尝试登陆其它的网站,从而导致其他网站上的信息也被破解。
“今年2月底,苹果将中国用户的iCloud数据库从美国搬到了云上贵州。”黄杨沉默了一下,回答说。
身为腾讯微信支付部门的风控负责人,李成(化名)正焦急地跟同事讨论关于微信在iCloud上的备份问题。
iCloud是苹果推出的个人云存储业务,主要用于存储iPhone、iPad等设备上的照片、视频、文档和App数据,以便在各个设备间实现同步更新。
这次Apple ID被盗事件中最奇怪的是,不仅仅是用户的Apple ID账号密码被泄露,泄露的还有一些用户的微信聊天记录。
但李成告诉《今晚财讯》:“微信聊天记录平时在手机里是加密备份的,你换个手机就看不到这些聊天记录了。”
李成分析后得出这样的结论:因为iCloud备份了微信整个App的数据。黑客拿到Apple ID账号密码后,换个手机用iCloud恢复微信App,如果他同时知道了你的微信账号和密码,那他用密码登录微信后,就能看到解密后的历史聊天记录。
根据微信与苹果手机的相关协议,微信将应用软件内的聊天记录等数据备份在苹果手机上,当iCloud同步微信数据时,这些聊天记录也会同步上传至iCloud中。
而这里面最让人担心的是,iCloud不仅备份了微信的数据,几乎大部分手机软件里的App数据都被它备份了。
“iCloud全盘备份手机里的软件这个功能很危险,一旦ID被泄露,用户在各个手机软件里的隐私都很危险。”李成表示。
但令李成担忧的是,目前微信单方面在技术上很难做到限制微信的聊天记录这一项上传到苹果手机的iCloud,因为是iCloud的备份行为是在手机后台进行的,作为前台的App一般都感知不到。只要用户选择同意备份,所有前台软件的数据都会被上传至iCloud。
2017年6月1日,《中华人民共和国网络安全法》正式实施,该法律对在中国境内经营的国外公司做出了新规定,为了最大程度上维护消费者权益,必须将敏感数据存储在国内的服务器中。
于是,今年1月10日,苹果公司发布公告称,从2月28日起,中国内地的iCloud服务将转由云上贵州大数据产业发展有限公司(简称“云上贵州”)负责运营。苹果手机用户Apple ID的国家或地区设置为中国的都在这次转变的影响范围内。
根据协议,苹果公司授权云上贵州公司作为苹果公司在中国大陆运营iCloud服务的唯一合作伙伴。云上贵州公司作为运营主体,在中国大陆境内运营iCloud服务。
有网友反馈,在iCloud转到贵州之后,出现了iMessage垃圾信息暴增的现象。不少网友称,“原来还好,自从iCloud转到贵州后,老是收到iMessage垃圾信息”。
但云上贵州相关负责人曾对媒体回应称:“iMessage并不属于云上贵州公司运营中国大陆iCloud业务范畴。”
一名知乎用户在《中国内地的iCloud服务转由云上贵州运营意味着什么?》的问题下回复称:“昨天同意了icloud的服务迁移,今天1点开始就接到贵州的营销诈骗电线个了。我的号码所在地是上海,已经使用8年,从来只接过江浙沪推销诈骗,第一次接到贵州的。”
在黄杨看来,如果是黑客攻克了苹果手机的漏洞造成的,那毫无疑问,这是苹果公司的责任,损失将由苹果来承担。但他认为这种情况的概率很低。
“你知道苹果手机的一个漏洞在市场上价值多少么?至少值100万美元以上。”
早在2016年,美国的“网络军火商”zerodium就曾公开向外界悬赏100万美金来破解苹果手机,而且上不封顶。也就是你只要能挖到一个苹果手机漏洞,立马就能获得至少百万美元的奖金,甚至更高。
而如今,国内顶级的白帽(用黑客技术来维护网络关系公平正义的人员)年薪都是百万元以上,一些安全人员甚至达千万年薪。因为他们挖到一个漏洞价值数万美金,有的团队一年可以挖到数百个漏洞。
近些年,用户数据经常发生大规模泄露的事件。因为很少有用户在每个平台设置不同的密码,所以黑客会利用网络上已经泄露的大量的用户数据,去尝试登陆其他网站。
2017年,公安部指挥破获一起特大盗贩公民信息案,共抓获犯罪嫌疑人96名,初步查获涉及物流、医疗、社交、银行等各类被盗公民个人信息达50亿条。
在黄杨看来,如今很多犯罪的黑客根本没用太多的技术,大部分是利用已经泄露的数据“撞库”成功。但这次苹果Apple ID被盗,撞库或者内鬼的可能性更大。
据了解,在信息安全行业,目前的数据泄露事件,有30%来自于黑客,有70%来自于内鬼。
在此次苹果Apple ID被盗事件中,除了账号被泄,苹果手机的强制免密支付才是导致大量用户遭受财产损失的主因。
在QQ维权群里,苹果的强制免密支付将成为此次被盗的苹果手机用户维权的重点。
《今晚财讯》记者在苹果手机账户中发现,其内设的付款方式有支付宝、微信、银行卡、快捷支付等,而苹果账户在绑定支付宝或微信等支付方式时,必须选择免密支付。
而互联网上资金最好变现的渠道就是那些游戏充值或是道具,所以这次很多人的账户被盗后被用去买游戏装备,或者开通收费订阅。“收费订阅量越高,黑客拿的钱就越多。”赵武表示。
尽管苹果公司10月11日回应称正在积极解决ID被盗问题,但上海、北京等地的苹果中国公司对被盗刷用户提出的退款申诉却表示无法操作。
一些苹果手机用户的支付宝也被盗刷。《今晚财讯》在询问支付宝所属的蚂蚁金服会如何处理时,蚂蚁金服市场公关部工作人员表示,这次主要是由于Apple ID被泄露导致的,如果账号泄露了,任何支付方式都有风险。
根据我国《刑法》第287条(利用计算机盗窃公私财物)和第264条盗窃罪,盗窃公私财物,数额巨大或者有其他严重情节的处三年以上十年以下有期徒刑。
而此次苹果手机Apple ID被盗事件中,至少在强制免密支付环节上,苹果公司就存在设计上的安全问题。
“苹果强制免密支付是为了方便,它选择了便利性而不是安全性。加入密码、二次身份认证或生物识别,都可以帮助用户极大地避免盗刷。”赵武表示,在受害者维权后,苹果公司可能会修改默认的强制免密支付。
本文转载自10月13日微信公众号“央视财经”(ID: cctvyscj)。
近日,全国多地苹果手机用户反映他们在苹果支付上遭遇了盗刷。目前,了解到的被盗刷人数,预计超过700人。记者在调查中发现,此次大面积盗刷和苹果及支付宝开通的免密支付功能有着密切关联。
9月29号,北京的吴女士突然收到了银行发来的提示短信,告知其账户出现安全原因暂被管控。当吴女士打开支付宝后发现,短短6分钟就出现了20笔消费,总金额超过5000多元。吴女士本以为是支付宝账户被盗,给支付宝客服打过电话才知并非如此。
苹果手机用户 吴女士:支付宝说是因为都是在苹果的商店里消费的东西,用了免密支付,所以支付宝认为是我的苹果ID被盗了。
支付宝公司客服人员:支付宝和苹果签约了免密支付,一个协议支付的代扣。如果签约了之后,确实是不需要本人去输密码,或者是不需要操作,会产生自动扣款扣费的情况。
吴女士的支付宝消费记录显示,被盗刷的20笔交易分别为向苹果应用商店充值和购买一款名为“魔力宝贝”的游戏道具,交易记录中被标注了“APP内购买项目”。
在向苹果客服进行情况反馈的三个工作日后,吴女士收到了苹果公司发来的电子邮件,称“无法撤销账号中未经授权的相关费用”。
同样遭遇账户被盗无法追回损失的还有浙江台州的刘小姐,10月9号,也就是她开通苹果账号中的支付宝支付功能的第二天,就遇到了盗刷的情况,先后出现了8笔消费苹果id 变国外id插件,损失3000多元。刘小姐说,苹果账号在开通支付宝支付功能时,必须同意开通“免密支付”。
记者还发现,苹果应用商店开通微信支付的前提也是默认同意开通“免密支付功能”。然而,在被问到为何必须强制开通免密支付功能时,苹果客服却表示不太清楚。
苹果公司客服人员:如果说您是通过支付宝免密扣款,这个我确实也不太清楚,您可以联系支付宝确认一下。
记者对此次苹果用户出现集体被盗刷的原因进行了梳理,首先被盗刷的用户都是在苹果手机的设置里授权开通了第三方的“付款”,这里包括支付宝、微信、银行卡等付款方式;另外,用户在开通第三方的“付款方式”时,苹果公司给的选项只有“免密支付”,否则就无法使用,用户想要使用支付宝、微信等支付手段就必须同意授权,进而导致了这次因“免密支付”而出现的盗刷。
目前,苹果已经向开通第三方支付的用户,增加了支付宝、微信客户端的免密支付安全验证和短信验证。那么,苹果强制用户开通免密功能的背后,是否存在对消费者权益的侵犯呢?
记者在苹果手机“付款信息”中发现,开通支付宝支付功能的界面中出现了一份名为 《支付宝免密扣款授权的协议》,点击协议后记者发现,该份协议由支付宝和苹果用户签订,并明确了:“支付宝只是被授权指令的执行方国外苹果id的来,除非支付宝没有依照该特定第三方的指令进行操作,或者操作指令错误,否则支付宝不对本服务产生的损失和责任负责”。
记者在自己的支付宝账户设置中发现,已经签约开通了苹果应用商店的“免密支付”功能,而在设置“安全月限额”一栏中记者发现,限额被默认选择了“无限额”,而不是其提供的“有限额”选项。
“免密支付”必须同意苹果国外id怎么退出,额度又默认“无限额”,如此的设置增加了用户潜在的安全隐患。而此次苹果用户遭遇盗刷,用户在向苹果公司进行权益申诉时却发现,默认同意的协议里并没有苹果公司应有的责任和义务。
中国人民大学民商法研究中心副主任 姚欢庆:实际上,在免密支付的部分中,它的协议并不是跟第三方平台也就是苹果来签的,它是跟支付宝公司签订的免密支付的协议。支付宝公司会说,协议中已经明确规定了权利义务的问题,所以,你既然同意了免密支付这种条款的点击,说明你就认可了,由此所产生的风险由消费者自己来承担。
将用户引导给支付宝签订《免密支付协议》,苹果公司就可能规避潜在的法律风险。而让用户开通免密支付功能,又会带来什么样的利益呢?苹果公司工作人员告诉记者,用户通过苹果平台提供支付功能中的每一笔消费,苹果公司会从中按比例进行提成,“免密支付”的开通无疑提高了用户的消费便捷度,从而给苹果公司带来更多的分成。
有法律专家就指出,强制开通用户的“免密支付”功能却不与用户直接签署协议,如此的做法不仅侵犯了消费者的知情权和自由选择权,也造成了用户的维权难。
中国政法大学传播法研究中心副主任 朱巍:因为最开始就没有协议,没有协议本身就是一个缺失,没有提示义务,没有网民协议,没有免责声明,而且最重要的是没有告诉消费者一旦丢失手机、丢失移动端的时候,应当用什么方式及时止损,它都没有说。所以这种情况,苹果是有责任的,而且这种责任是不能推卸的。
用户和苹果之间支付协议的“被缺失”,不仅让用户在遭遇账户安全风险时无法维护自身权利,也给不法分子提供了可乘之机。记者在深入调查后发现,大量苹果账户在一些社交平台被公然出售。
网络安全工程师 刘沛:在QQ直接搜索“批发Apple ID”,可以发现非常多的这个QQ群,随机点开第一个,里面就有958个人。群介绍,包括出售苹果账号批发出售,然后出售苹果Apple ID白号,过检查的ID号,以及等等其他的一些账号。
据网络安全工程师分析,此次苹果账户出现集体被盗刷的情况很有可能是邮箱用户名和密码被黑客窃取后采取大量“试错操作”,最终破解出苹果用户的账户和密码,从而利用免密支付进行盗刷。
网络安全工程师 刘沛:前几年,听说过非常多的邮箱数据泄露。这时,就掌握了一群人的邮箱和密码,能够成功登录你的邮箱。这个时候就可以去直接尝试,看是否在苹果注册过,然后对应了一个苹果ID。
有互联网法律学者指出,目前在我国飞速发展的快捷支付,虽然极大地方便了用户的体验,但也带来了账户资金安全的多重风险。相关互联网支付的法律法规应该不断补充完善,从制度上发挥约束作用。
中国互联网协会法治工作委员会副秘书长 胡钢:第一,要有明确的保险制度;第二,应该有具体的法律设计,保障我们的普通的用户只承担特别有限的责任。这个都应该是由相关的保险经营分担,或者由相关的商家进行承担。这样才是一个合理的一个制度安排。
