出門叫專車服務(wù)已經(jīng)成為一種生活現(xiàn)象����,專車給人們的出行帶來便捷體驗��。但是���,這也產(chǎn)生新的問題,萬一賬戶和密碼被盜�,其所綁定的支付寶��、信用卡也等于“見了天日”。近日�����,一些優(yōu)步用戶發(fā)現(xiàn)其賬號在自己沒叫車的情況下被叫車��,并且被扣款���,有的用戶多次遇到此類情況?����,F(xiàn)在�����,擺在互聯(lián)網(wǎng)專車面前的不僅是合法性問題��,如何確認支付安全也刻不容緩�����。
一個盜刷��,優(yōu)步賬戶不再屬于我
自動扣款存漏洞 “代叫”黑色產(chǎn)業(yè)鏈形成
■IT時報記者 潘少穎
十個小時內(nèi)“被叫車”七次
6月9日早上�����,南京一家互聯(lián)網(wǎng)公司的職員沈先生剛打開手機���,就收到了支付寶的付款通知����,其優(yōu)步賬戶付款350元��,付款時間是昨天晚上�。對此,沈先生感到非常詫異���,因為當(dāng)時他正在睡覺����,壓根就沒有叫車��。
疑慮重重的沈先生打開優(yōu)步賬戶����,想查看下具體情況,沒想到連賬戶都登錄不了�����。作為互聯(lián)網(wǎng)公司的產(chǎn)品經(jīng)理��,沈先生第一反應(yīng)就是要聯(lián)系客服��,可是找來找去沒有找到優(yōu)步的客服電話��,只能向優(yōu)步官方寫郵件��,要求立即停止他的優(yōu)步賬號使用�����。
到了晚上�����,沈先生沒有收到回應(yīng)�,因為擔(dān)心再被叫車,沈先生又發(fā)了一封郵件給優(yōu)步官方���,與此同時��,為了避免更大的損失�����,沈先生想了各種辦法想停用自動支付功能�����,最后通過支付寶把優(yōu)步自動扣款的功能關(guān)掉了�����。
6月10日�,即盜刷后的第三天,沈先生接到了優(yōu)步客服的電話����,詢問情況后,讓沈先生重置了密碼���,并且返還了他被盜刷的350元��。
當(dāng)沈先生把自己的遭遇在網(wǎng)上反映后����,發(fā)現(xiàn)有類似遭遇的乘客不在少數(shù)�。“我算幸運的�����,很多人根本不知道客服郵件該怎么寫����,損失都沒有挽回�����。”沈先生說��。
杭州的李先生沒有沈先生那么幸運���,從6月19日下午開始,他的優(yōu)步就“忙個不停”��,從19日下午3點多到20日凌晨短短的十個小時內(nèi)����,他的優(yōu)步賬戶被叫了7次,其中最貴的一次車費將近200元�。一開始,李先生并沒有注意支付寶的付款提醒消息��,直到20日早上他才發(fā)現(xiàn)。“因為賬戶和密碼被盜了�,我通過支付寶解綁了優(yōu)步支付,沒想到我在優(yōu)步上綁定的一張美國信用卡也被盜刷了幾次���。”現(xiàn)在�,李先生已經(jīng)把這張信用卡凍結(jié)���,可是20日發(fā)給優(yōu)步的郵件卻遲遲沒有得到回音����。
修改密碼不費勁 催生代叫服務(wù)
用過優(yōu)步的乘客都知道�,用戶注冊后,通常需要綁定支付寶賬號��。通過優(yōu)步叫車�,在司機將用戶送達目的地后,優(yōu)步系統(tǒng)會通過支付寶賬號直接扣費�,支付過程不需要用戶輸入支付密碼,因此��,從理論上來說���,只要優(yōu)步賬號和密碼被盜�,對方就可以不費周折地使用其支付寶付車費,而這竟然也成了一種“商機”��。
記者在淘寶網(wǎng)上搜索“優(yōu)步代叫”的商品���,發(fā)現(xiàn)有不少商家都提供此類服務(wù)�����,而同時,他們也售賣優(yōu)步的優(yōu)惠券�。如果想要優(yōu)步代叫的服務(wù),不能通過旺旺進行����,而是要加賣家的微信。
記者加了一位賣家的微信��,該賣家告訴記者�,所謂優(yōu)步代叫,就是乘客只要把自己所在的地方�、目的地和手機號告訴賣家,賣家就會用他所擁有的優(yōu)步賬號替乘客叫車��,行程結(jié)束后����,不需要乘客付錢����,賣家會支付錢���,而乘客要支付給賣家的是此前和賣家談好的價格����。記者咨詢了幾個賣家���,在上海��,同城的車費在40元左右一趟�����,不限距離��,不限人數(shù)�����。
根據(jù)賣家的解釋�����,其用來叫車的賬號都是白號���,并沒有所謂的盜號����。有業(yè)內(nèi)人士告訴記者����,很有可能賣家得到了一批優(yōu)步賬號和密碼,就用這些賬號叫車����,支付則是用這些賬號綁定的支付寶或信用卡�,實際上,不需要賣家付出什么�,而且還可以坐收乘客支付的所謂“車費”,這種“代叫”服務(wù)其實就是“刷單”產(chǎn)業(yè)鏈的一種���。
在乘客被盜刷的過程中�,有一個共同的問題是其賬戶密碼會被修改,要修改優(yōu)步的密碼是不是很容易呢���?記者嘗試了一下����,登錄優(yōu)步賬戶���,在其設(shè)置中可以看到賬戶信息�����,顯示該賬戶注冊時的姓名��、手機號碼和郵箱��,點擊“編輯賬戶”��,填寫驗證密碼���,該密碼即賬戶登錄密碼。接下去��,就可以修改郵箱����、手機號碼了�����。如果盜號者把郵箱改成自己的郵箱���,其郵箱內(nèi)會收到確認郵件,只要點擊確認郵件上的鏈接就算改好郵箱了���。優(yōu)步修改密碼方式有兩種�����,一種是通過郵件���,一種是通過手機號碼。以通過郵件修改密碼為例����,只要點擊通過電子郵件修改密碼����,優(yōu)步就會向賬戶確認過的郵箱發(fā)送郵件�,打開郵件中的鏈接�����,就可以重置密碼���,原賬戶的密碼可以繞過原來的主人修改成功����。在修改賬戶信息和密碼的過程中�����,原來的郵箱和手機號會收到賬戶信息更改的提醒��,但如果用戶沒有留意并加以阻止�,很可能就被盜刷。
優(yōu)步相關(guān)人士告訴記者��,代叫是一種違法犯罪行為���,優(yōu)步會配合查處����。
白帽子黑客稱優(yōu)步客戶端接口存漏洞
乘客沈先生告訴記者,本來覺得自動扣款蠻方便的���,但現(xiàn)在看來優(yōu)步在支付安全和認證方面并沒有做到位����。
今年3月��,一位白帽子黑客在烏云網(wǎng)上公布了優(yōu)步的漏洞�,其標題為“Uber 優(yōu)步客戶端接口設(shè)計不當(dāng)可導(dǎo)致撞庫攻擊”。一位不愿透露姓名的烏云網(wǎng)工作人員告訴記者����,盜號過程不算很難,一般黑客�����,都能操作�。在他看來,優(yōu)步采用了免密支付的流程����,一個優(yōu)步賬號就可以打通這些支付方式�����,因此優(yōu)步賬號的價值和重要度非常高。但是��,黑客可以用遍歷手機號的方式來猜測弱密碼存在的可能性��,也可以根據(jù)互聯(lián)網(wǎng)已經(jīng)泄露的用戶信息進行“撞庫”����。“所謂遍歷手機號,就是由于手機號碼格式是固定的���,理論上可以用數(shù)字窮舉把所有的可能性都嘗試一遍����,而且光用123456這樣的密碼就能猜出很多賬號����,這樣的探測流程可以用程序自動化實現(xiàn)。”這位工作人員解釋說����。
這位工作人員告訴記者,白帽子用技術(shù)手段在優(yōu)步客戶端分析得知�����,優(yōu)步的客戶端的https證書未做校驗,攻擊者可以偽造證書利用優(yōu)步的登錄接口進行嘗試���。而且優(yōu)步的賬號可以在多臺設(shè)備登錄����,登錄錯誤次數(shù)也沒有限制���,可以一直嘗試下去���。此外,優(yōu)步接口中有一個可以通過姓名和手機號碼查詢用戶的功能�����,這個也沒有做驗證��,白帽子可以批量猜解用戶手機是否注冊了優(yōu)步���。對于這些問題�,烏云平臺表示目前并未收到優(yōu)步的反饋,“如果在支付時能設(shè)一道防線�,這種盜刷的現(xiàn)象會好很多。”
記者在采訪中發(fā)現(xiàn)��,很多用戶被盜刷后想解綁支付寶���、想聯(lián)系人工客服,都未能很快找到解決方法���。記者也沒有在優(yōu)步客戶端找到解綁支付寶的方法��,要通過支付寶客戶端-我的-設(shè)置-安全設(shè)置-安全中心-賬戶授權(quán)管理���,才能解綁支付寶。
關(guān)于人工客服�,優(yōu)步相關(guān)人士告訴記者,目前開通了4008196582這個號碼�,但主要解決賬戶安全問題。
