近期,美國打車平臺優步(Uber)在廣州、北京等地被曝出賬戶盜刷、甚至被黑色産業鏈拿來公開叫賣的負面事件。隨後,優步公司回應稱,非常重視少數用戶近期向優步客服反映的“賬戶被盜”問題,將持續通過技術升級來鞏固平臺的安全,並建議用戶主動提高密碼強度,不使用簡單或者與其他平臺重復的密碼。
不過,有專家和行內人士對記者説,優步的賬戶驗證、支付以及客服溝通等諸多流程都與國內不接軌,難以被中國用戶所理解,這些安全隱患説明優步還不熟悉國內的商業環境。
問題一:驗證方式單一 賬戶密碼太容易被盜
獵豹安全專家李鐵軍對記者説:當前網際網路賬戶被盜的情況確實很多,常有關於優步系統被入侵和數據洩露的傳言。這些網路交易普遍存在一個主要風險:撞庫攻擊(注:駭客將得到的已洩露數據在其他網站上進行嘗試登錄,因為很多用戶喜歡使用統一的用戶名密碼)。如國內第一大郵箱此前被曝“拖庫”,造成郵箱被盜的用戶非常多。
類似優步的諸多網路賬戶被盜事件都與“撞庫”有關。前段時間爆發的中國蘋果手機大量被鎖定勒索事件、12306用戶資訊洩露事件就是例證。李鐵軍説,估計黑色産業鏈偷盜這些賬號後非法出售,甚至滋生了網上“優步代叫”生意,導致一部分人買別人的賬號來坐車,真正用戶利益受損。
記者隨後與優步公司聯繫,該公司回應稱:據我們了解,發生被他人盜號現象的賬號通常具有同一特徵:在多個網際網路平臺使用同一個賬名和密碼,且密碼較為簡單。該公司否認了系統漏洞被攻擊的可能。
也有用戶對此質疑,綁定的手機和信箱同時被修改,一般來説,手機與信箱互為安全底線,同時被修改意味著安全底線的消失、徹底的不安全。而且用戶手機、信箱同時被修改以後,通過之前的信箱賬戶居然仍舊能登錄。
“拖庫”事件發生後,各大網際網路公司都加強了對賬戶的安全保護,增加了短信驗證碼的驗證方式,而記者經過驗證發現,優步目前並不支援手機短信和郵箱雙重驗證。李鐵軍説,這導致優步賬戶在撞庫攻擊面前沒有抵抗力。
問題二:直接扣費不需確認 眼睜睜看著賬戶被盜刷
有被盜用戶反映,收到銀行卡所在銀行的提示前一天發生兩筆付款,一筆63.86元,另一筆162.75,後查明,都是通過優步客戶端支付,而此前,優步客戶端已經無法登錄,基本相當於用戶眼睜睜看著銀行卡被盜而無能為力。
國內另一家打車平臺內部人士説,用戶對優步的使用流程會感覺流暢,因為全流程都不用確認,這是基於國外信任度比較高的環境。而國內公司整個打車支付的流程需要經過更多的步驟, 雙方之間最大的一個區別是,國內專車平臺要求用戶確認付款,而美國優步是直接扣款,前者更符合國內商業環境和用戶習慣。
李鐵軍説,優步是美國網際網路公司,美國和中國在銀行卡安全方面的政策有巨大差異。儘管優步可以快速退款,這是一種美國式的解決方案,靠保險來解決。
由於優步賬戶必須捆綁支付賬號,中國用戶有一個曲線解決辦法,先解綁信用卡,關聯支付寶,然後登錄支付寶,在安全設置中將這個扣款授權刪除,就可以避免扣款風險。
問題三:溝通全靠郵件來往 風險提醒和防範不夠
除了直接扣款,優步還有多個操作流程被用戶吐槽。如其他專車要用手機登錄和短信驗證,而優步是直接登錄,無須任何驗證,優步還支援多設備同時登錄。另外,優步諸多溝通主要通過郵件往來進行,反饋也不及時。
對於這些安全隱患,較早前已有“白帽子”(公佈漏洞而不惡意利用的駭客)公開提醒過類似風險,優步並沒有改變和提醒用戶。如案例中用戶提出質疑:短時間內賬戶在異地和不同設備上進行了登錄消費,這是明顯的盜刷,為什麼平臺沒有去主動提醒用戶和限制消費?
對此,優步公司昨日也表示,當系統檢測到試圖在異地或非用戶註冊設備嘗試登錄的情況,優步系統會第一時間發送風險提示短信以及登錄驗證碼至用戶的註冊手機。一旦用戶發現賬戶被盜,用戶可以立即郵件至專門處理各種賬戶問題的客服郵箱,優步會在最短時間內幫助用戶找回被盜賬戶,賠償非本人用車所造成的損失。
用戶繼續質疑説,來自優步官方的提醒很及時,但是後續的處理讓這些很及時的提醒形同虛設,信箱長時間沒有人回復,導致用戶沒辦法修改密碼和個人資料。
事件回放:
被盜後
用戶無法改密碼和解綁
有用戶爆料稱,近日深夜2時,收到手機短信提示“你的優步賬號資訊已經更新(手機號碼、電子郵件)”,因為當時正在熟睡中,所以沒有注意到。當天上午9時左右,用戶發現被盜後馬上登錄優步客戶端,發現客戶端仍然可以登錄,但是手機號碼和信箱已經改變。
隨後,該用戶馬上申請修改密碼,提示説需要填寫個人信箱,修改密碼的連結會發到該信箱裏面去,此後一直未收到更改密碼的郵件,重新填寫了一次申請,後來仍未收到郵件,此時,優步APP仍然可以正常登錄。
由於擔心被盜刷,用戶嘗試解綁信用卡,但是APP提示:至少要綁定一種支付方式,無法解除綁定。第二天早上,用戶收到銀行卡所在銀行的短信提示,前一天發生兩筆付款,一筆63.86元,另一筆162.75元,後查明,都是通過優步客戶端支付。該用戶繼續通過優步客服信箱聯繫,但郵件均石沉大海,只得致電銀行凍結信用卡。
優步回應:堅決打擊“盜號”行為
優步非常重視少數用戶近期向優步客服反映的“賬戶被盜”問題。“盜號問題”是很多網際網路平臺遇到的共同挑戰,優步的網路安全團隊已經著手調查此事,並將採取嚴格的安全防範措施,持續通過技術升級來鞏固平臺的安全。優步法務團隊也將聯手我們的合作夥伴對這種網路詐騙行為進行調查取證,堅決打擊“盜號”行為,保障用戶的賬戶安全,保障乘客和車主的利益。
據了解,發生被他人盜號現象的賬號通常具有同一特徵:在多個網際網路平臺使用同一個賬名和密碼,且密碼較為簡單。用戶安全保障系統不斷優化的過程也是持續遏制不法行為的過程,非常抱歉在此過程中會給部分用戶帶來困擾,同時也建議用戶主動提高密碼強度,不使用簡單或者與其他平臺重復的密碼,加強自我保護意識,與優步一起遏制不法分子的不法行為。
當系統檢測到試圖在異地或非用戶註冊設備嘗試登錄的情況,優步系統會第一時間發送風險提示短信以及登錄驗證碼至用戶的註冊手機。
一旦用戶發現賬戶被盜,可以立即郵件至專門處理各種賬戶問題的客服郵箱:support-cn-ac@uber.com,優步會在最短時間內幫助用戶找回被盜賬戶,賠償非本人用車所造成的損失,確保優步用戶不會有任何經濟損失。