10月10日凌晨，支付宝官方微博账号向苹果手机用户发出安全提示称，在苹果公司没有完全解决问题之前，无论Apple ID绑定了哪种支付方式(包括支付宝、微信支付或者信用卡)都可能出现资金损失风险。为保障资金安全，用户可以选择关闭苹果手机上的代扣功能或调低免密支付额度。
　　盗刷者可能利用免密支付漏洞

　　单次额度内多次扣费

　　记者登录苹果手机账户，查看付款方式的设置，发现目前苹果提供的付款方式有支付宝、微信支付、银行卡、快捷支付等。记者绑定的是支付宝账户，账户下方有一行“如需重新绑定请轻点此处”的选项，但点击跳转后，显示的界面为“同意免密扣款授权协议并开通”，为何重新绑定账户变成了同意免密支付?

　　而如何控制付款额度?授权额度和次数默认又是多少?公告又在哪里?不少受害者表示不清楚。

　　支付宝如此介绍免密支付功能：苹果设备上充值视频网站VIP会员、购买游戏道具或其他付费项目时，将通过支付宝自动完成支付，“百万APP和游戏一触即得”。这些功能与受害者们的经历颇为重合，比如，被盗刷的付费项目多用于名不见经传的游戏充值，或者受害者此前使用过免密支付/自动扣款的订阅服务。

　　从实际损失看，盗刷者的单次盗刷金额基本不会超过2000元，可见极有可能盗刷者是利用免密支付的漏洞，通过单次额度内多次扣费进行“盗刷”。

　　苹果ID账号被盗

　　第三方支付账户也遭殃

　　记者从支付宝方面了解到，目前手机账号被盗导致关联支付账号被盗刷的情况只发生在苹果手机，安卓手机没有这个问题。

　　苹果的商店购买付费APP或产生其他消费，都需要绑定付款方式，目前苹果的付款方式包含了银行卡、支付宝、微信支付和快捷支付。

　　有支付行业资深从业人员告诉记者，这次事件因为苹果ID账号被盗，进而在苹果商店(Apple Store)里消费，绑定任何的支付方式，只要是免密的，都可能被盗刷。

　　这几年中国的移动支付飞速发展，用户喜欢使用移动支付很大的原因是方便，一部手机扫一扫就能完成付款。为了让这种方便更进一步，支付宝和微信支付都推出了小额免密功能，只要在用户设定的额度范围内，连支付密码都不用输入就能自动扣款。

　　据支付宝方面解释，免密支付最初是为了简化淘宝用户网购支付的步骤。但随着移动支付的使用场景越来越多，类似苹果商城、视频APP、打车软件都在接入支付宝和微信作为支付方式，而免密支付在这些软件中演化为代扣功能，类似打车不用输密码就能自动扣款的场景越来越多。

　　支付宝建议

　　开启“双重认证”+“安全月限额”

　　一名从事网络安全与优化的业内人士告诉记者：盗刷本质上还是账号、密码被盗导致。当然，支付平台和苹果公司有义务在提供免密支付功能时，给用户提供明确的支付额度、频次的选项，在授权前增设一道加密措施，给用户的财产安全增加一道防线。

　　“我们有指纹支付和刷脸支付，从目前的交易数据上来看，我们的用户通过支付宝APP完成交易的，一半以上用的是指纹支付。但免密支付/自动扣款目前都是不需要指纹或刷脸的。”支付宝方面说。

　　支付宝在回应记者时强调，这次苹果手机用户的ID账号被盗，但用户的支付宝账号还是完好的，并没有被破解。“如果是支付宝账号被盗，我们可以赔偿用户的损失，但这次主要责任不在支付平台。”

　　上述支付行业的专家建议，用户应当留心各平台之间账号信息的授权行为及协议，尽量减少同账号密码的多平台使用，留意免密支付开通的协议及更新内容，管理好自己的免密支付额度和频次限额，尽量少用或不用免密支付和代扣。建议用户，在设置相对复杂的账号和密码之外，应当留心各平台之间账号信息的授权行为及协议，尽量减少同账号密码的多平台使用，留意免密支付开通的协议及更新内容，管理好自己的免密支付额度和频次限额。

　　目前支付宝官方给出的建议是：开启“双重认证”+“安全月限额”。

　　小贴士

　　免密支付账户如何限额或关闭

　　支付宝账户在支付宝APP里,点击【我的】-【设置】-【支付设置】-【免密支付/自动扣款】-【 App Store, Apple Music,&iCloud】-【安全月限额】设定符合自己安全预期的月度限额。

　　微信账户 1.选择微信【我】-【钱包】-点击右上角的四宫格图标-【支付中心】-【支付管理】-【自动扣费】-选择【已签约项目】逐个关闭服务即可。

　　2.搜索并打开【微信支付】公众号，输入【自动扣款】，点击系统回复的消息中的【点这里】，即可查看所有的自动扣费授权。如果有不再需要的扣费，你可以点击查看详情，然后在接下来的页面中关闭该服务。