来自网络
曹先生两年前通过二手平台“转转”卖出的iPhone7手机,竟在凌晨通过AppStore连续发起4笔交易,购买《王者荣耀》游戏点券,共计1992元。更诡异的是,其中一笔订单显示设备名为曹先生本人,其余三笔则指向陌生人,而所有扣款均来自其支付宝账户。这一事件不仅暴露了数字时代的安全隐患,更掀开了二手交易、账户权限与数据清除的灰色地带。一、午夜幽灵:旧手机如何“复活”盗刷?根据曹先生的描述,其支付宝账户在凌晨被四笔交易连续扣款,时间集中在深夜,设备名称包含其本人及陌生信息,但所有交易均通过其支付宝完成。支付宝客服确认账户无异常后,问题矛头指向苹果ID与二手平台的数据残留。
关键漏洞分析:
苹果ID未解绑:曹先生售出手机前未彻底注销苹果ID,导致设备仍与其账户关联,新机主可通过AppStore直接消费。
支付权限未撤销:苹果ID绑定的支付宝免密支付功能未被关闭,交易无需二次验证。
数据清除不彻底:转转平台宣称的“隐私清除”可能存在技术缺陷,未完全删除账户登录信息,为盗刷留下隐患。
事件背后,二手平台的隐私保护机制备受质疑。转转等平台虽承诺“数据清除”,但技术层面仅执行恢复出厂设置,无法彻底抹除云端账户关联。网络安全专家指出,部分数据可通过专业工具恢复,尤其是iCloud账户若未注销,设备即使重置仍可被远程操控。
曹先生的遭遇并非个例,但大多数受害者因举证困难难以追回损失。对此,专家提出三重防护建议:
售前断联:卖出手机前,务必注销所有账户(如苹果ID、谷歌账号),关闭支付权限,并手动删除iCloud备份。
深度清理:使用第三方工具(如iMazing)彻底擦除数据,或通过反复填充大文件覆盖存储空间,防止数据恢复。
实时监控:启用支付宝、微信支付的“消费提醒”功能,发现异常立即冻结账户并报警。
四、行业反思:安全不能止于“用户自查”事件暴露出厂商与平台的责任缺失。苹果公司虽强调ID安全性,但未强制用户解绑旧设备;二手平台则过度依赖“免责条款”,将风险转嫁给消费者。
改革呼声:
技术升级:厂商应开发“一键解绑”功能,自动切断旧设备的账户权限;
监管介入:要求二手交易平台提供经认证的数据清除服务,违者重罚;
立法保障:将“数字资产继承与处置”纳入民法典,明确旧设备数据权属。
曹先生的1992元损失,如同一记警钟,敲响了数据安全的紧迫性。在万物互联的今天,一部旧手机可能是通往个人财富的“后门”。唯有用户、企业与监管三方合力,才能筑牢隐私防火墙,让科技真正服务于人,而非成为隐患的温床。
