前段时间的 Apple ID 盗刷事件想必大家均有所耳闻，而最终事发原因似乎也大多数归咎于用户账户密码被泄露，导致异地登陆消费，虽然有用户表示找苹果客服申请退款成功，但目测只是少数。这件事成功引起了中消协的注意，发文称：消费者有权选择是否开通免密支付。

由于Apple ID 的机制，不论是购买软件还是软件内购消费，全部都是通过App Store 付费渠道的，这种方式在苹果看来是比较安全的。因此如果是Apple ID相关的发生盗刷的话，只会是软件内购或者App Store购买软件消费，这次也不例外。

盗刷事件引多方回应

一旦发生盗刷，那么出问题的可能是苹果本身、绑定的支付渠道，还有很关键的一个是消费者自己。

事情发生之后，我们就看到了三方互相甩锅的场景：

消费者：苹果发短信提示账号内购买了XXX，不是我操作的，是苹果的锅；

支付工具：苹果的漏洞，不是我；

苹果：没发现系统漏洞，建议消费者开启双重验证。

看到不少消费者都出现了问题，央视曝光了这次风波，中消协也开始关注这件事情。最终得出了结论如下：

1.经营者应当履行保障消费者人身、财产安全的义务

2.无论消费者是否开通免密支付，经营者都应保障消费者的交易安全

3.消费者有权选择是否开通免密支付，经营者应当尊重消费者的选择权

4.经营者没有证据证明支付行为是消费者的自主行为，在消费者没有故意或重大过失行为导致财产的丢失或损失的情况下，相关经营者都应该承担相应的责任。

5.经营者收集消费者的个人信息应当正当、必要，并对收集的消费者个人信息负有保密义务，不得泄露。

6.经营者采取综合措施切实保证交易安全

7.经营者不得利用格式合同损害消费者权益

8.消费者账号被盗刷后经营者应承担相应的赔偿责任

中消协这次的积极态度确实令人满意，而且每一条都确实是对消费者有利的。但在这个时候看这份公告，很容易让人觉得这次事件是苹果的责任。苹果的Apple ID 安全措施不够完善确实应该承担一些责任，我觉得消费者本身更应该进行反思。

国内用户对免密支付基本都不放心

其实，通过App Store 消费的过程严格意义来说并不算是免密支付，每一次消费都是需要输入Apple ID密码或者通过人脸识别、指纹识别等验证，而免密只是在调用银联、支付宝、微信支付等渠道是不用输入密码才称之为免密，如果这一次事故是免密支付的责任担责的可能不应该是苹果一家。

而且这种免密支付绑定行为在共享单车、滴滴出行等众多App里面都存在。如果以“Apple ID、盗刷”等关键词去搜索的话，你会发现其实一直以来这种新闻都是存在的，即便是在Apple Store不支持绑定支付宝、微信支付的阶段。

在中消协的公告里，有一点我是相当认同的——消费者有权选择是否开通免密支付。

这一点可能是苹果延续了国外的支付习惯，使用信用卡的用户可能都有经历，在使用Visa、万事达等国际信用卡的时候，是不需要输入密码的，基本是刷卡即走的状态。也许苹果也把这种支付习惯带到了国内，包括笔者自己其实对这种支付方式并不放心。在一些共享单车App、外卖软件、打车软件里，付费方式也是支持绑定支付宝或者微信的免密支付的，但是用户是有选择权不使用的。每次付费都需要调用支付宝或者微信支付，再次输入对应支付渠道的支付密码才能完成交易。

在这次中消协施压之后，我也希望苹果在这方面给予用户以选择权，毕竟数据都可以迁至云上贵州，还有什么不可能的。

消费者本身的安全意识问题不该忽略

那么现在，用户自己头顶上这口无形的大锅我也想来说道一番。无论是此前时有发生的盗刷事件还是这次相对集中的盗刷事件，大部分受害者是没有开通Apple ID 的双重验证的，苹果在本次事件的回应中也有提到建议开启双重验证。

这个功能的好处在于，一旦你的Apple ID尝试登陆一台新的设备时，会在已登录受信任的设备上弹出登录提醒以及一条验证码，当然你也可以选择使用绑定的手机短信验证。

这种方式基本是不大可能被黑掉的，除非你的手机号也遭到劫持了。

因此，没有开启双重验证的用户发生被盗刷的概率瞬间大了很多。毕竟Apple ID的账号密码被盗的可能性比较大，撞库、钓鱼等方式，黑客完全可以直接从用户手中就“偷取”账户密码，如此一来登录新的设备无须验证，恰好Apple ID绑定了银行卡、支付宝或者微信支付等方式的话，在免密支付的协议下登陆密码即可作为支付密码产生消费。

至少在这一环上，主要的责任是在消费者身上，提供支付工具的企业以及苹果可能都属于受害者。如果真要给苹果盖一口锅的话，那就是：为什么不强制消费者开启双重认证？不知道这样会不会引来“消费者选择权”的抨击……

所以，原谅我一直不理解有人偏不开双重认证，我相信苹果在这次按照要求整改完成之后Apple ID盗刷的事件依然不会减少。在目前阶段，如果依然担心Apple ID被盗刷的话，建议开启支付宝或者微信支付里免密支付限额功能，有效止损。

这次盗刷风波基本因中消协的出面会平息下去，至于责任归属看似模糊实际也很明朗。我唯一好奇的是，盗刷事件原本只是偶尔出现，这次却突然形成一波小爆发，难不成又是哪位大佬家发生了严重的数据泄露？

*本文作者：Andy.i，转载请注明来自FreeBuf.COM