多地iPhone用户遭盗刷 企业数据泄露的结无解?

  1. 云栖社区>
  2. Java程序员联盟>
  3. 博客>
  4. 正文

多地iPhone用户遭盗刷 企业数据泄露的结无解?

技术小能手 2018-10-16 10:51:18 浏览908

对于企业来说,大数据在如今已经是必不可少的一项技术。不管是大型科技互联网公司,还是线下消费实体店,社会各行各业都已进入大数据时代。

然而就在大数据快速发展的这几年,国内外涉及数据安全与个人隐私的舆情事件不断发生,涉及人们衣食住行的隐私泄露案频出。虽然用户和企业之间签订了隐私协议,但是大到科技巨头,小到初创公司,总有用户数据泄露的新闻曝出。

前有谷歌、Facebook的数据泄露丑闻,最近华住、顺丰又被曝出大量用户数据泄露,现在轮到苹果了。根据报道,近日有市民服务热线接到大量投诉,不少苹果用户称自己的 Apple ID被突然盗号,原本账户绑定的支付平台被多次扣款,有用户损失最高达到十万元。

“盗刷门”大规模爆发,苹果却无法退款

9月24日,湖北有位苹果用户的iPhone6 Plus屏幕中出现了支付宝通知弹窗,显示自己的账户接连被扣除2000元,随后又自动关闭了一项苹果服务。随后,她查看了自己的Apple ID近90天内的购买记录,显示账户还被盗刷了其他费用,用来购买游戏装备。

43bd1548f20c316ebdad5c9d27d63bd029e95650

在前后联系了苹果客服八次之后,对方除了表示“同情”,只告知她无法退款,没有理由。

山西也有用户同样遇到了盗刷,金额达3240元。他登录微信交易账单时发现,从9月18日晚上开始,9分钟内被连续扣取了7笔费用,全部都是给苹果ID充值的订单。

苹果客服帮其将最近的一笔640元支付退回,至于其他的扣款,苹果称“无法撤销账号中未经授权交易的相关费用”。

fe41af485b46745031c02bf1c743267c0744dce7

就在前天(10月10日)早上凌晨2时左右,辽宁一位果粉也中招了,莫名损失了6083元。苹果客服反馈说,他是“通过个人微信绑定的银行卡,把钱转到了苹果ID里面,通过苹果ID充值了游戏。”

随着受害者越来越多,网上已经有很多苹果ID盗刷维权群,基本都是满员状态,成员都被盗刷了几百到上万元不等。

eab09425224f79aecb38f2b98fec22d09108b52d

受害者们的共同特点之一,就是开通了各种“免密支付”。黑客只要获取到你的Apple ID和密码,无需输入支付密码,便可进行各种“小额盗刷”。

10日凌晨,支付宝官方向苹果手机用户发出安全提醒,称已联系苹果公司,正在定位被盗原因。

ed0943fecec34ad66d17f759516528b14c25da41

目前苹果公司还在调查,建议开启双重验证并关闭免密支付

事件发生后,记者专门联系了苹果公司,苹果公司称暂时还在调查,调查清楚之后会给媒体一个回复。

有专家表示,由于不少用户在不同网站上使用的是同样的账户密码,犯罪分子通过互联网收集已泄露的用户名和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户,采用“撞库攻击”手段,最终窃取账户实现盗刷。在这次盗刷事件中,除非破案,否则消费者很难得到赔偿。

而此次被大规模盗刷的原因有两个条件:第一,苹果ID没有开通双重验证,致使账号被盗;第二,受害用户签约过免密自动扣款协议,不管签约的是支付宝、银行卡,还是微信支付。

针对以上两个原因,用户可以采取相应的措施提供账户的安全度。用户可以通过打开“双重认证”来避免自己的账号被远程登录。因为一旦打开“双重认证”,意味着当Apple ID不在用户常用终端登录时,即使密码正确,系统也会发出提醒,要求用户输入一串出现在常用终端上的随机码才能登录。

b1d6854e06547aed9a61b9cb2effbef4ce4279b3

另外苹果用户也可以关闭支付宝、微信钱包、银行卡快捷支付绑定的苹果App Store免密支付服务,或者调低免密支付额度。

如何限额或关闭

支付宝账户:

4b3f7e77a48b86e593b6d30b6e11613a5ea87ac3

限额:在支付宝 APP 里 , 点击[我的]-[设置]-[支付设置]-[免密支付 / 自动扣款]-[ App Store, Apple Music,&iCloud]-[安全月限额]设定符合自己安全预期的月度限额

关闭:打开支付宝APP > 底部“我的” > 右上角“设置” > 支付设置 > 免密支付/自动扣款 > 找到“App Store”已签约 > 关闭服务 > 继续解约。

微信账户:

07807c660d747a5e0e23644dc9a93e63d1a264ce

选择微信[我]-[钱包]- 点击右上角的四宫格图标 -[支付中心]-[支付管理]-[自动扣费]- 选择[已签约项目]逐个关闭服务即可。

为何信息安全事故频出,起底背后的信息黑色产业链

在此次事件中,大量苹果用户的Apple ID泄露,是这次事件的关键点。根据专家分析,已破获的苹果账户盗刷案件,大多是黑客通过撞库登录用户的苹果账户。

所谓撞库,指的是由于用户在多个网站和苹果系统都使用同一组密码,黑客通过收集或购买已泄露的其他网站的用户信息及密码,生成对应的字典表,尝试批量登录其他网站后,就会得到一系列可以登录的苹果账户,从而完成盗刷的第一步。那这些被泄露的用户信息和密码,又是从何处流出的呢?

除了苹果,近年有数家公司出现了涉及用户数据泄露的问题,其中包括谷歌、Facebook、顺丰等知名大公司。

2018年8月28日,网上传言华住数据疑似发生泄露。据央视财经报道,疑遭泄露数据涉及1.3亿条身份信息、2.4亿条开房记录等共5亿条信息,被标价为8比特币或520门罗币,约37万人民币出售。

2018年9月1日,有媒体报道有人在暗网交易网上以“顺丰3亿条快递物流独家数据”为题目出售用户数据,价格为2个比特币。经验证,此次流出的数据中确实包含了姓名、地址、电话,也即快递必须的三样基础信息,不过随后顺丰对此回应称“暗网所售数据非顺丰数据”。

2018年10月8日,Google公司在一篇博客文章中宣布,将在未来十个月里永久关闭Google+的消费者版本。而关闭的原因是,Google+的一个漏洞可以向开发者提供用户信息,这可能会导致50多万名Google+用户的个人数据被泄露。开发商可在未被用户知晓的情况下获得用户数据,包括姓名、电子邮件地址、职业、性别和年龄。

2018年3月17日,多家外媒同时报道称,Facebook有5000万用户信息数据遭名为“剑桥分析”公司获取及利用;9月29日,Facebook表示黑客窃取了公司的数字登录密码,使他们能够接管Facebook多达5000万用户账户,目前还无法确认攻击者是否滥用了账户或窃取了私人信息。

贩卖已泄露数据、贩卖隐私的生意早已不是秘密了。根据警方的统计数据显示,近两年多来,各地查获的公民个人信息超过1400亿条,平均全国每个人有100多条信息泄露。

这些被泄露的信息有可能是你手机号码、家庭住址、身份证号码、网络账号和密码、银行账号和密码、购物记录、出行记录……有人仅仅花了700元,就在网上购买到了同事的个人行踪等11项记录。

在网上,有人将这些被泄露的信息做成了生意,这笔“生意”背后,还藏着一条黑色的暴利产业链。从非法获取、加工、交易到用于实施犯罪,这一系列针对公民个人信息的地下产业链条被称作“黑灰产”。恶意软件编写、漏洞售卖、数据窃取、个人信息倒卖、分赃销赃等环环相扣。

根据数据显示,目前我国在这条黑色产业链上从事的人数已超160万人,其年产值已达近千亿。据统计,2016年到2017年我国有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。其中,“徐玉玉被电信诈骗案”更是震惊全国。

其实不仅国内信息泄露问题严重,在国外也如此。近些年我们常常听闻的暗网,更是公民信息泄露的重灾地。

据新京报报道,“暗网”上的一个中文交易论坛中,除了酒店用户信息之外,还有股民数据、学生学籍信息、电子商务(母婴行业)500w用户数据等公民个人信息出售,暗网涉及泄露的用户信息,简直触目惊心。

企业屡被曝出用户数据泄露 挣了钱就不管了?

掌握着大量消费者的信息和隐私,然而许多商家和企业却并没有承担起保护这些信息的责任。

在今年,除了谷歌、Facebook这样的大型科技互联网公司,像华住、顺丰这样的企业也被相继曝出用户信息安全问题。在这背后,一方面可能是因为企业自身存在技术漏洞,在黑客的攻击下导致大量用户信息外流。

在此次苹果盗刷事件中,如果是黑客攻克了苹果手机的漏洞造成的,那毫无疑问,这是苹果公司的责任,损失将由苹果来承担。

另一方面,还存在企业或个人拿用户的隐私去换取利益的情况。据了解,在信息安全行业,目前的数据泄露事件,有30%来自于黑客,有70%来自于内鬼。

根据警方提供的信息显示,在贩卖信息的案件中,有相当一部分嫌疑人是掌握着公民个人信息的企业员工。他们是一批新类型信息的源头,涉及消费、金融、保险等更丰富的信息要素,关联性、指向性更强,危害性也更大。这种罔顾用户信任、违背协议的行为,也是如今用户信息安全遭受威胁的症结之一。

自大数据、人工智能等技术爆发以来,数据似乎成为一座巨大的财富矿山。但是觊觎这座矿山的除了企业,还有怀抱私心的不法分子。

企业出于商业目的收集了大量的用户信息,这是出于用户的信任,然而在使用这些数据的时候,企业又真的想到办法保护好这些用户的隐私和信息了吗?


原文发布时间为:2018-10-14

本文来自云栖社区合作伙伴“Java程序员联盟”,了解相关信息可以关注“Java程序员联盟”。