柏可林 攝
打車軟體“代叫”黑色産業鏈蔓延
隨著Uber、滴滴等叫車軟體的普及,越來越多的用戶已經習慣出行前通過叫車軟體打車。但是,近日卻有媒體曝光Uber叫車軟體存在漏洞,導致用戶賬號被盜,甚至在異地完成了叫車服務,給用戶帶來金錢方面的損失,並由此衍生出一條“代叫”黑色産業鏈的新聞。
記者發現,大部分用戶對Uber的質疑集中在三個方面。其一,Uber客戶端存在漏洞,導致駭客可以在用戶毫不知情的情況下盜取賬號並修改密碼。其二,Uber在行程結束後會自動通過已綁定的支付方式扣除車費,而無需驗證和輸密環節。這一免密支付功能給“代叫者”提供了可趁之機。其三,Uber在註冊賬號時要求至少綁定一種支付方式,用戶在發現賬號被盜時無法解綁所有支付方式,可能造成額外的金錢損失。
針對上述三個問題,記者聯繫Uber中國進行採訪,但至今尚未收到回復。不過,此前Uber中國方面曾回應媒體稱,“盜號問題”是很多網際網路平臺遇到的共同挑戰,Uber的網路安全團隊已經著手調查此事,並將採取嚴格的安全防範措施,持續通過技術升級來鞏固平臺的安全。
目前,記者在微網志、淘寶、微信等平臺搜索關鍵字“Uber”、“代叫”,依然可以找到相關連結。
免密支付惹的禍?
記者在微網志上搜索“Uber”、“盜號”等關鍵字後,發現不少微網志用戶都遭遇過Uber盜號事件。根據他們的描述,Uber賬號被盜是一個後知後覺的過程。大部分人表示自己明明沒有叫車,卻收到了“車到目的地”的消息,此時才發覺自己的Uber賬號被盜了。
更有甚者,是在收到支付寶或者銀行信用卡的扣款資訊後,才發現Uber賬號被盜的事實。但是,當大部分用戶想要登錄Uber賬號修改密碼時,卻發現包括手機號碼、郵箱在內的登錄資訊已經被修改,導致無法重置密碼。
微網志用戶“杭之馮玥均建國後成精”因此質疑,“Uber這樣的大公司,是怎麼允許不經過驗證,就同時修改預留信箱和預留手機號的?如果這兩樣都已經被盜號者修改的話,請問原賬號擁有者如何找回密碼?”
由於Uber付款採用免密支付的方式,因此大部分用戶在發現賬號被盜之後,第一反應是解除綁定支付寶、銀行信用卡等支付方式。但記者查閱Uber用戶幫助資訊,發現目前只支援支付寶和百度錢包的人工解綁服務。此外,由於Uber要求至少要綁定一種支付方式,導致許多用戶只能通過凍結支付寶或信用卡的方式避免損失。
據了解,在註冊Uber賬號時,有以下兩種方式:授權支付寶賬號直接登錄,或用郵箱、手機號碼進行註冊,隨後,在百度錢包、銀聯、支付寶、國際信用卡中,至少添加一種付款方式進行綁定;添加支付方式後,用戶在行程結束後,無需輸入支付密碼,便可自動支付。
記者發現Uber用戶在關聯支付寶賬號時,默認同意《Uber代扣服務協議》。這份協議中規定,“收到商戶的請款請求後,支付寶將按直接借記模式為您提供本服務,您授權支付寶可以根據商戶的請款請求直接扣款完成您的支付而無需您在每次付款時再行確認發出支付指令。”
而Uber原本以為用戶帶來流暢體驗為初衷設計的“免密支付”功能,現在卻被大量用戶詬病:一旦賬號被盜,綁定的支付方式就有被不法分子消費的巨大風險。
“撞庫”攻擊導致盜號
那麼,為什麼Uber用戶的賬號會被盜呢?事實上,早在3月23日,就有網友指出Uber客戶端存在漏洞可能導致“撞庫”攻擊。
根據網友的調查,由於Uber註冊時使用的是手機號,但登錄時卻不需要手機驗證碼驗證,加之由於Uber客戶端允多臺設備線上且沒有異地登陸提醒,導致駭客可以通過“暴力破解”的方式盜取賬號,並修改郵箱和密碼。
而知乎網友“莫名”則指出另一個利用郵箱盜號的漏洞。他表示,駭客利用郵箱撞庫拿到密碼後,可以直接修改Uber賬號密碼,而不需要進行安全問題等二次驗證,而且全程手機端不會收到任何短信。當駭客進入被盜的Uber賬號後,捆綁的支付寶賬號或銀行卡號也隨之出現。
對此,Uber中國相關負責人也回應稱,在多個網際網路平臺使用同一個賬號名和密碼,且密碼設置較為簡單,較容易出現被他人盜號的現象。Uber中國網路安全團隊十分重視保護用戶的賬號安全,目前已通過多種途徑提醒廣大用戶在設置密碼時選擇複雜且獨特的密碼,避免在多個網際網路平臺使用同樣的賬號名和密碼,以提高自身安全系數。
不過,也有不少用戶表示Uber對盜號問題的回應不夠及時。由於Uber沒有在中國開通客服熱線,因此大部分用戶只能通過寫郵件的方式向Uber申訴。不過,記者了解到,目前Uber已經開通了賬戶安全幫助熱線,但僅限于處理賬戶未經授權被他人使用、賬戶資訊和初始設置不符兩類問題。
代叫黑色産業鏈
盜取Uber賬號之後,為了變現,不法分子發展出了一條“代叫”的黑色産業鏈。
記者通過淘寶網找了一家提供Uber代叫服務的“商家”。對方表示,代叫服務全國通用,同城不限距離22.5元一單。具體的步驟是先通過淘寶旺旺告訴“商家”上、下車地點,成功下單後對方會告知司機的電話和車牌號,到了約定的時間直接上、下車,整個過程乘客無需支付給司機任何費用。
記者還發現,這些“代叫者”毫不避諱在微網志、微信中“曬單”,並以介紹新用戶享受優惠的方式擴大業務範圍。更有甚者,有些人直接打出了招募分區域“代理”的廣告。
業內人士認為,代叫者選擇Uber,主要是因為它的自動扣款功能。在其他的平臺消費後付款時,都需要確認訂單或行程後,由消費者主動操作付款,但Uber在行程結束後會自動通過已綁定的支付方式扣去車費,無需驗證和輸密環節。
“代叫是利用了Uber軟體行程結束自動扣款的特點,通過盜取的賬號替人叫車。”西南科技大學法學院副教授廖天虎在接受媒體採訪時表示,如果代叫者實施盜竊他人賬戶資訊或信用卡並使用的,便構成盜竊罪;如果代叫者沒有實施竊取行為,而是明知是非法獲取的賬戶數據資訊,而予以收購或代為銷售的,則構成掩飾、隱瞞犯罪所得罪。
對於網路上出現的大量的“Uber代叫”服務,Uber中國回應媒體稱:“這不是一種服務,而是不法分子的一種銷贓行為,利用極少數用戶貪小便宜的心理,侵害其他用戶的財産,也嚴重損害了被‘盜號’用戶對優步平臺的信任。”Uber方面稱將對此嚴厲打擊,並通過不斷的技術升級提升安全防範措施。(唐逸如)