如果應用程式還需要用戶在登錄時輸入簡訊驗證碼(這種安全操作被稱為雙重認證),短信則會發到iPhone上——而這部手機正在竊賊手中。
通過解鎖密碼進入銀行類應用程式後,《華爾街日報》可以在無需實體卡或PIN碼的情況下,在Apple Pay中添加數位簽帳金融卡。簽帳金融卡裡的錢可以轉到Apple Cash裡,後者也可以用來轉帳,或是在商店裡進行非接觸式支付。
幾名受害者說,有人以他們的名義開了一張蘋果信用卡。這些卡很快產生了數千美元的消費。如果打開Apple Wallet,申請蘋果信用卡時就會自動填入可能已儲存在iPhone上的個人資訊,如用戶姓名、住址及生日。
申請蘋果信用卡時,的確需要申請人輸入其社會安全號碼的後四位數字。受害者大衛·維吉蘭特(David Vigilante)認為,竊賊應該是在他iPhone XS Max的相冊裡找到了這一資訊。
30歲的維吉蘭特是一家房產數據公司的產品經理,去年10月23日凌晨,他的手機在曼哈頓下東區的一家披薩店被盜。之後他發現,有人試圖通過Apple Pay在他的信用卡上扣款1.5萬美元,還有人以他的名義開了一張新的蘋果信用卡。幾天后他再次進入自己的蘋果帳戶時,發現自己之前拍攝的敏感文件照片——他的護照、駕照、將工資直接匯入銀行帳戶的入賬單以及醫療保險文件——被存在了一個新相冊裡。
蘋果相冊、iCloud Drive和Google Drive等應用程式如今都有在圖像和文檔中搜尋文本的功能。在《華爾街日報》的測試中,在蘋果相冊中搜尋SSN(社會安全號碼)和TIN(納稅人識別號碼),馬上就會出現一張1099稅表的照片,上面有手機中已儲存的社會安全資訊。
《華爾街日報》採訪的大部分受害者都選擇了報警。其中一人還向美國聯邦貿易委員會(Federal Trade Commission)報告了身份被盜。大多數涉事銀行和金融類應用程式都退還了被認為是因欺詐活動而損失的資金。
一些iPhone被盜的人無法重新登入他們的蘋果帳戶了。在知曉解鎖密碼的情況下,竊賊可以修改Apple ID的備用郵箱和備用手機號,還可以啟用名為「恢復密鑰」的安全功能。最近的一些案件中,竊賊就更改了蘋果帳戶的聯繫人資訊,並開啟了「恢復密鑰」功能,令受害人無法使用原本為忘記Apple ID密碼的人提供的帳戶恢復服務。
蘋果發言人表示,制定帳戶恢復政策是為了防止不良分子登入用戶的帳戶。
那些仍舊無法登錄蘋果帳戶的人,往往會失去一些無可替代的東西。
阿亞斯的iPhone在紐約酒吧外被盜後不久,擁有普林斯頓大學(Princeton University)經濟學碩士學位的她試圖登錄自己的Apple ID,想要啟用「查找我的iPhone」功能。但那時,竊賊已經更改了她的帳戶密碼。幾個月後,儘管她給蘋果客服打了無數次電話,但依然無法找回自己的帳戶,原因是竊賊還啟用了「恢復密鑰」功能。
根據蘋果的政策,如果啟用了「恢復密鑰」,且用戶無法提供這串密鑰,蘋果將不允許用戶重新獲得其帳戶的訪問權限。
「我進到相冊裡,向上滑動螢幕,希望能看到那些熟悉的面孔,看到我爸爸和家人的照片——它們全都不見了。」阿亞斯說,「我被宣判已經失去了所有這些回憶,這種感覺很難受。」
(若想了解如何保護自己的iPhone數據不被竊取,請閱讀我們的防盜指南(英文))
