无论用户的Apple ID绑定了哪种支付方式（包括支付宝、微信支付或者信用卡）都可能出现资金损失风险。本文共计2020字，阅读时间4分钟。

本文由寻找中国创客(ID:xjbmaker)原创

记者/薛

编辑/韦嘉

9月发布会一结束，库克又来中国了，几天的日程排得满满的。他要和时尚摄影师一起体验轮渡，要去一家苹果店和顾客交流，要和当地政府官员见面，要接受媒体采访，要从上海飞到北京，还要跑到一所学校在校园里宣传苹果产品。

只是这一次，他的中国之行可能会蒙上阴影。

自9月中旬以来，大量苹果用户在社交媒体上报告称，他们的Apple ID被盗，并在他们不知情的情况下在苹果商店购买了多款付费产品。据媒体报道，国内700多名用户受到影响，损失金额从几千元到数万元不等。

支付宝昨日在其微博发布声明称，在苹果公司彻底解决相关问题之前，提醒用户可以选择降低苹果公司支付的保密支付金额，以最大程度保护资产安全。

截至目前，苹果公司并未公开回应此事。据相关媒体报道，苹果客服在回复受害者咨询时表示“同情”，但无法退款。

女生几分钟内被刷走5000元

在社交媒体上打开搜索，可以找到大量受害者关于自己的Apple ID是如何被盗的描述。在一个名为“Apple ID被刷”的QQ群里，受害者聚在一起分享他们与苹果客服的沟通。

但沟通中只有少部分人收到全额退款，大部分受害者的处理结果仍然是“等待邮件通知”。QQ群里甚至有人认真整理了与苹果客服的沟通技巧，详细列出了反馈步骤和注意事项。

一名大学生向寻找中国创客(ID: xjbmaker) 反映，10月9日晚上8点左右，她的iPhone突然收到多条短信和邮件提醒，短短几分钟内她的苹果账户从银行卡里刷走5000元，其中2600元用于购买游戏优惠券，2000元充值到苹果账户里。

“我一扣钱就发短信，但是他速度太快了。我花了三四分钟就偷了这么多钱。”该用户称，她在得知被盗刷的消息后，迅速将苹果id绑定的银行卡余额转到了朋友的手机上，但最终只转出了3000元。

之后她打电话给苹果客服询问，苹果客服告诉她已经确认自己的Apple ID被盗，但是最后是否会退款，“还是让我等邮件吧”。

有用户认为“等邮件”是苹果在群聊中的敷衍行为。他们建议其他受害者一定不要挂断电话，要继续找更高级别的客服沟通。

郑先生是QQ群里为数不多的退款成功的用户。他的Apple ID在10月8日被盗4800多元。“手机在你面前没动。突然，短信和支付宝消息来了。不到一分钟，自动扣了7 648元和1 300元，共计4836元。”

其中7次扣费648元全部为某未知游戏的代金券，剩余300元充入Apple ID账户。

“当时我给苹果客服打电话，一共转了四五个客服，提交了两次退款申请，都失败了。最后转给了一个权限最高的客服，然后我就成功退款了。”郑先生告诉寻找中国创客(ID: xjbmaker)

更多的用户只能继续接受等待的事实。在一个名为“苹果邮件拒绝群”的微信群聊中，已经有70多名被盗用户收到了苹果拒绝退款的邮件，其中一些人甚至被拒绝了三四次。

“打了一下午苹果客服的电话，他们的说法是:如果收到邮件说审核不通过，那就是最终结果了，没必要再给他们打电话了。”一个用户在群聊中表达了不满。

建议关闭或调低免密支付额度

为什么这些用户的Apple ID会被盗？许多安全专家表示，常见的方法包括伪造钓鱼网页和撞库。

假冒的钓鱼页面通常会先给用户发邮件或短信，提醒其账户存在风险，让用户登录假冒的苹果页面修改密码。用户一旦输入真实账号密码，就会被盗。撞库就是利用大多数人在不同平台使用同一个账号密码的习惯，使用用户在A平台丢失的账号密码登录自己在b平台的账号。

10月10日凌晨，支付宝在其微博发布《关于苹果手机的安全提示》声明，称已就用户ID被盗一事多次联系苹果公司，敦促其尽快定位被盗原因，提高安全等级，彻底解决用户权益受损问题。

支付宝在声明中强调，在苹果彻底解决问题之前，用户的Apple ID无论绑定哪种支付方式(包括支付宝、微信支付或信用卡)，都可能存在资金损失的风险。

顶级图像安全技术专家田纪云告诉寻找中国创客(ID: xjbmaker)，问题很可能发生在绑定账户的保密支付环节。“免密支付很方便，但存在安全漏洞。”

在上述用户被盗刷的案例中，被盗刷的金额都是几百元不等的小额支出，但几次消费后，累计支出达到了几千元。

魔云安全CEO刘兵也表示，开启小额免密支付后，用户购买虚拟商品时无需输入密码即可支付，在账户被盗的情况下，很容易被不法分子利用。

支付宝还在声明中提醒用户，可以选择降低苹果支付的保密支付金额，最大限度保护支付宝账户的资产。

但是，用户被盗后，很可能面临“不管”的局面。

记者在微信支付关于苹果保密支付的授权协议中看到，在任何情况下，只要商家向财付通发送支付指令(即微信支付)，财付通就可以根据指令扣款，而财付通对支付指令的正确性、合法性、完整性、真实性不承担任何法律责任，相关法律责任由用户和商家自行承担。

支付宝在协议中还表示，支付宝只是授权指令的执行人。除非支付宝未能按照相关第三方的指令进行操作或操作指令有误，否则支付宝不承担服务造成的损失和责任，相关损失和责任由用户与特定第三方协商解决。

田纪云建议相关用户可以选择关闭免密支付或降低支付金额，选择不绑定支付账户，不购买任何软件或服务。