iPhone用户被盗刷 数十分钟被刷走3万余元（2）

在和其他受害者交流中，刘女士想起此前支付宝通知中有过“关闭免密支付功能”的提醒，但她怎么也记不起自己什么时候开通过这项服务，更没有使用过。她怀疑可能是自己的信息遭泄露，被不法分子利用。

她前前后后联系苹果客服“4006668800”8次，但对方除了表示“同情”，就是在提交系统审核后告知其无法退款，没有理由。刘女士转而向上海消费者保护委员会请求协助申诉，但苹果方面此后回复刘女士的结果，依然是“系统判定无法退款”。

苹果ID被盗刷频现受害者超700人

据报道，上海市民服务热线12345接到大量投诉，最近不少人反映自己的苹果账户被莫名盗刷了，最倒霉的一位被盗刷了上万元。

像刘女士这样的受害者越来越多，大家在网上建了QQ群，每个群的成员数量都已达300-400多人，分布在全国各地，目前受害者加起来已经超700人。

群成员几乎都在9月份发生了被盗刷状况，累计被盗刷金额从几百到上万元不等。事发后，大家才意识到可能是因为自己设置了免密支付，却没有限定免密支付的频次和额度。

群成员只能解绑苹果设备上所有支付平台，取消支付平台上的免密支付或自动扣款功能，同时更换苹果ID账号密码，有人甚至把原ID注销。

盗刷者可能利用免密支付漏洞

记者登录苹果手机账户，查看付款方式的设置，发现目前苹果提供的付款方式有支付宝、微信支付、银行卡、快捷支付等。记者绑定的是支付宝账户，账户下方有一行“如需重新绑定请轻点此处”的选项，但点击跳转后，显示的界面为“同意免密扣款授权协议并开通”，为何重新绑定账户变成了同意免密支付？

记者在苹果手机上查看付款方式，点击更换重新绑定账户，跳转后的页面是“同意协议并开通”免密支付，授权信息说明模糊。

记者查看支付宝免密扣款的协议内容，从头到尾也未看到扣款的频次和额度范围，有一段字体加粗的内容：“支付宝只是被授权指令的执行方，除非没有依照特定第三方的指令进行操作，或操作指令错误，否则支付宝不对本服务产生的损失和责任负责”；不加粗的内容当中，提到“支付宝会对您选择的不同扣款渠道的付款额度做出不同的控制，日付款授权额度及日授权次数，均以支付宝向您具体公告的为准。若超过该限额的话，将会扣款失败，无法完成支付”。

如何控制付款额度？授权额度和次数默认又是多少？公告又在哪里？不少受害者表示不清楚。

而支付宝如此介绍免密支付功能：苹果设备上充值视频网站VIP会员、购买游戏道具或其他付费项目时，将通过支付宝自动完成支付，“百万APP和游戏一触即得”。这些功能与受害者们的经历颇为重合，比如，被盗刷的付费项目多用于名不见经传的游戏充值，或者受害者此前使用过免密支付/自动扣款的订阅服务。

从实际损失看，盗刷者的单次盗刷金额基本不会超过2000元，可见极有可能，盗刷者是利用免密支付的漏洞，通过单次额度内多次扣费进行“盗刷”。