无论哪种支付方式(包括支付宝、微信支付或信用卡)与用户的AppleID绑定，都可能存在资金损失的风险。本文共计2020字，阅读时间4分钟。

本文由寻找中国创客(ID:xjbmaker)原创。

记者/薛

编辑/韦嘉

9月发布会后，库克再次来华，连续几天日程排得满满的。他要和时尚摄影师一起体验轮渡，要去一家AppleStore和顾客交流，要和当地政府官员见面，还要接受媒体采访，还要从上海飞到北京去一所学校宣传苹果产品进校园。

只是这一次，他的中国之行可能会蒙上阴影。

自9月中旬以来，大量苹果用户在社交媒体上反映，他们的Apple IDs被盗，并在不知情的情况下在AppleStore购买了许多付费产品。据媒体报道，目前已有700多名国内用户受到影响，损失从几千元到数万元不等。

支付宝昨日在其微博上发表声明称，在苹果公司彻底解决相关问题之前，提醒用户可以选择降低苹果公司支付的保密支付金额，以最大限度保证资产安全。

截至目前，苹果公司并未对此事做出公开回应。据相关媒体报道，苹果客服表示& quot同情& quot在回应受害人的咨询时，却拿不到退款。

女生几分钟内被刷走5000元

在社交媒体上公开搜索，可以找到大量受害者关于自己AppleID被盗的描述。在一个名为& quotApple ID被刷& quot，受害者聚集在一起分享与苹果客服的沟通。

但是沟通中只有少部分人收到全额退款，大部分受害者的结果仍然是& quot等待电子邮件通知& quot。QQ群里甚至有人精心整理了与苹果客服的沟通技巧，详细列出了反馈步骤和注意事项。

一名大学生告诉寻找中国创客（ID：xjbmaker），10月9日晚上8点左右，她的iPhone突然收到多条短信和邮件提醒，她的苹果账户在短短几分钟内从银行卡里刷走了5000元，其中2600多元用于购买游戏优惠券，2000多元充值到苹果账户里。

"扣完钱我就发短信了，但是他速度太快了。我花了三四分钟偷了这么多钱。"该用户称，她在得知被盗后，很快就将AppleID绑定的银行卡余额转到了朋友的手机上，但最后只转了3000元。

之后她打电话给苹果客服询问，苹果客服告诉她已经确认自己的AppleID被盗，但是最后是否会退款，& quot或者让我等邮件。"

一些用户认为在群聊中& quot等待电子邮件& quot是苹果的敷衍行为。他们建议其他受害者不要挂机，继续找更高级别的客服沟通。

郑先生是QQ群里为数不多的退款成功的用户。他的AppleID在10月8日被盗4800多元。"手机在它面前没动。突然，短信和支付宝消息来了。不到一分钟就被自动扣除7 648元和1 300元，共计4836元。"

其中7次扣款648元全部为购买某未知游戏的优惠券，剩余300元计入AppleID的账户。

"当时给苹果客服打电话，一共转了四五个客服。我提交了两次退款申请，都失败了。最后我转接了一个权限最高的客服，然后我成功退款了。"郑先生告诉寻找中国创客（ID：xjbmaker）.

更多的用户只能继续接受等待的事实。在一个名为& quot苹果邮件拒绝组& quot，70多名被盗刷用户全部收到苹果拒绝退款的邮件，有的甚至被拒三四次。

"给苹果客服打了一下午电话，他们的说法是：凡是收到邮件说审核不通过的就是最终结果，不用再给他们打电话了。"一位用户在群聊中表示不满。

建议关闭或调低免密支付额度

为什么这些用户的Apple IDs会被盗？一些安全专家表示，常见的方法包括伪造钓鱼页面和撞库。

伪造的钓鱼页面通常会先向用户发送邮件或短信，提醒用户账户中的风险，让用户登录假冒的苹果页面，修改密码。用户一旦输入真实账号密码，就会被盗。撞库利用了大多数人在不同平台使用同一个账号密码的习惯，利用A平台用户丢失的账号密码登录自己在b平台的账号。

10月10日凌晨，支付宝在其微博上发布声明，关于& quot苹果手机安全提示& quot，称已就苹果用户ID被盗一事多次联系苹果公司，敦促其尽快定位被盗原因，提高安全等级，彻底解决用户权益受损问题。

支付宝在声明中强调，在苹果彻底解决问题之前，无论用户的AppleID绑定何种支付方式(包括支付宝、微信支付或信用卡)，都可能存在资金损失的风险。

顶象安全技术专家田际云对寻找中国创客（ID：xjbmaker）表示，问题很可能出现在账户绑定的免密支付环节,"免费的秘密分支。

在上述用户被盗刷的案例中，盗刷金额均为几百元不等的小额支出，但经过多笔消费后累计支出达到了数千元不等。

墨云安全CEO刘兵也表示，开启小额免密支付后，用户在购买虚拟商品时不需输入密码就可付款，在账户被盗的情况下，很容易就会被不法分子利用。

支付宝同样在声明中提醒用户，可以选择调低苹果支付的免密支付额度以最大限度保护支付宝账户资产安全。

而用户在被盗刷之后，面临的很可能是一个两不管的境地。

记者在微信支付关于苹果免密支付的授权协议中看到，在任何情况下，只要商户向财付通（即微信支付）发出支付指令，财付通就可按照该指令进行资金扣划，而财付通对支付指令的正确性、合法性、完整性、真实性均不承担任何法律责任，相关法律责任由用户和商户自行承担。

支付宝同样在协议中表示，支付宝只是被授权指令的执行方，除非支付宝没有依照相关第三方的指令进行操作，或操作指令错误，否则支付宝不对服务产生的损失和责任负责，相关损失及责任由用户和特定第三方协商解决。

田际云建议，相关用户可以选择关闭免密支付或者调低支付额度，在不购买任何软件或服务的情况下，可以选择不绑定支付账户。