事件背景

10月10日，支付宝在官方微博发出安全提示称，监测到部分苹果用户的ID出现被盗，由此带来相关ID绑定支付工具遭到资金损失。

在声明中，支付宝称，已经联系苹果公司尽快定位被盗原因，同时建议用户调低免密支付额度以最大限度保护支付宝账户安全。

支付宝方面，提供了临时解决办法。即在确保方便的前提下，用户可以选择调低苹果支付的免密支付额度以最大限度保护支付宝账户的资金安全。具体操作如下：“支付宝用户可以单独给Apple ID设置免密支付限额，您可以在支付宝App里，点击【我的】-【设置】-【支付设置】-【免密支付/自动扣款】-【App Store,Apple Music,&iCloud】-【安全月限额】设定符合自己安全预期的月度限额。”

原理分析

从支付宝提供的解决方案，我们可以看到，其实是因为Apple ID绑定了支付宝免密支付，客户如果拿到了Apple ID，可以直接使用支付宝免密支付为自己的在苹果商店或者其他支持Apple Pay的电商网站上进行盗刷。

同理，如果客户使用Apple ID绑定了银行卡或者微信免密支付，也可能被盗刷。

如何防范

对于用户来说，最重要的就是保护好自己的各种账号的密码安全，定期更换密码，不同的账户使用不同的密码。另外，尤其在绑定支付账户，比如银行卡、微信、支付宝免密支付时需要谨慎操作。目前除了苹果，像滴滴打车、高德地图等都可以支持绑定支付宝或微信免密支付。

另外，用户可以在相关应用或者资金通道提供方微信、支付宝或者绑卡银行上设置开关支持免密支付服务应用，对于不常使用的应用，建议关闭免密支付。

像Apple ID这种可以设置免密限额的，建议客户也设置上，通常免密支付交易都是小额高频交易，建议根据自己需要设置一个较低额度，另外也可以在资金通道提供方微信、支付宝或者绑卡银行上设置免密支付额度，这样也能最大限度保护资金安全。

另外，部分银行比如像民生银行还推出了用户银行账户的安全锁，包含防止夜间支付、异地支付以及限额控制，也可以从银行卡的角度防范风险交易。

对于大型应用以及支付通道提供方的思考

对于一些大厂，用户千万级或者亿级大厂，一旦出现用户账号密码泄露，便是灾难级的，在大数据和黑产如此发达的今天，几个数据一关联一撞库可能导致其他网站的账号密码同时泄露。尤其一些大厂还与资金通道方有免密支付扣款接口连接，很容易就引发大规模社会资金损失。

另外对于提供支付服务，尤其是免密支付服务接口的资金通道提供方，如果做好交易的检测以及渠道的风控也是对保护用户资金安全的一大挑战。毕竟，如果以API形式提供接口，资金通道方是很难了解客户真实支付环境，只能通过后台大数据、人工智能和一些其他异常分析风控手段，来实现阻断风险和盗刷交易。

为了切实保护用户资金安全，需要整个支付环节上下游链条把各自部分做好，用户自己也需要有一定的安全防范意识，才能最大限度地保护资金安全。