一個盜刷，優步賬戶不再屬於我

　　自動扣款存漏洞 “代叫”黑色産業鏈形成

　　-IT時報記者 潘少穎

　　出門叫專車服務已經成為一種生活現象，專車給人們的出行帶來便捷體驗。但是，這也産生新的問題，萬一賬戶和密碼被盜，其所綁定的支付寶、信用卡也等於“見了天日”。

　　近日，一些優步用戶發現其賬號在自己沒叫車的情況下被叫車，並且被扣款，有的用戶多次遇到此類情況。現在，擺在網際網路專車面前的不僅是合法性問題，如何確認支付安全也刻不容緩。

　　十個小時內“被叫車”七次

　　6月9日早上，南京一家網際網路公司的職員沈先生剛打開手機，就收到了支付寶的付款通知，其優步賬戶付款350元，付款時間是昨天晚上。對此，沈先生感到非常詫異，因為當時他正在睡覺，壓根就沒有叫車。

　　疑慮重重的沈先生打開優步賬戶，想查看下具體情況，沒想到連賬戶都登錄不了。作為網際網路公司的産品經理，沈先生第一反應就是要聯繫客服，可是找來找去沒有找到優步的客服電話，只能向優步官方寫郵件，要求立即停止他的優步賬號使用。

　　到了晚上，沈先生沒有收到回應，因為擔心再被叫車，沈先生又發了一封郵件給優步官方，與此同時，為了避免更大的損失，沈先生想了各種辦法想停用自動支付功能，最後通過支付寶把優步自動扣款的功能關掉了。

　　6月10日，即盜刷後的第三天，沈先生接到了優步客服的電話，詢問情況後，讓沈先生重置了密碼，並且返還了他被盜刷的350元。

　　當沈先生把自己的遭遇在網上反映後，發現有類似遭遇的乘客不在少數。“我算幸運的，很多人根本不知道客服郵件該怎麼寫，損失都沒有挽回。”沈先生説。

　　杭州的李先生沒有沈先生那麼幸運，從6月19日下午開始，他的優步就“忙個不停”，從19日下午3點多到20日淩晨短短的十個小時內，他的優步賬戶被叫了7次，其中最貴的一次車費將近200元。一開始，李先生並沒有注意支付寶的付款提醒消息，直到20日早上他才發現。“因為賬戶和密碼被盜了，我通過支付寶解綁了優步支付，沒想到我在優步上綁定的一張美國信用卡也被盜刷了幾次。”現在，李先生已經把這張信用卡凍結，可是20日發給優步的郵件卻遲遲沒有得到回音。

　　修改密碼不費勁 催生代叫服務

　　用過優步的乘客都知道，用戶註冊後，通常需要綁定支付寶賬號。通過優步叫車，在司機將用戶送達目的地後，優步系統會通過支付寶賬號直接扣費，支付過程不需要用戶輸入支付密碼，因此，從理論上來説，只要優步賬號和密碼被盜，對方就可以不費週折地使用其支付寶付車費，而這竟然也成了一種“商機”。

　　記者在淘寶網上搜索“優步代叫”的商品，發現有不少商家都提供此類服務，而同時，他們也售賣優步的優惠券。如果想要優步代叫的服務，不能通過旺旺進行，而是要加賣家的微信。

　　記者加了一位賣家的微信，該賣家告訴記者，所謂優步代叫，就是乘客只要把自己所在的地方、目的地和手機號告訴賣家，賣家就會用他所擁有的優步賬號替乘客叫車，行程結束後，不需要乘客付錢，賣家會支付錢，而乘客要支付給賣家的是此前和賣家談好的價格。記者諮詢了幾個賣家，在上海，同城的車費在40元左右一趟，不限距離，不限人數。

　　根據賣家的解釋，其用來叫車的賬號都是白號，並沒有所謂的盜號。有業內人士告訴記者，很有可能賣家得到了一批優步賬號和密碼，就用這些賬號叫車，支付則是用這些賬號綁定的支付寶或信用卡，實際上，不需要賣家付出什麼，而且還可以坐收乘客支付的所謂“車費”，這種“代叫”服務其實就是“刷單”産業鏈的一種。

　　在乘客被盜刷的過程中，有一個共同的問題是其賬戶密碼會被修改，要修改優步的密碼是不是很容易呢？記者嘗試了一下，登錄優步賬戶，在其設置中可以看到賬戶資訊，顯示該賬戶註冊時的姓名、手機號碼和郵箱，點擊“編輯賬戶”，填寫驗證密碼，該密碼即賬戶登錄密碼。接下去，就可以修改郵箱、手機號碼了。如果盜號者把郵箱改成自己的郵箱，其郵箱內會收到確認郵件，只要點擊確認郵件上的連結就算改好郵箱了。優步修改密碼方式有兩種，一種是通過郵件，一種是通過手機號碼。以通過郵件修改密碼為例，只要點擊通過電子郵件修改密碼，優步就會向賬戶確認過的郵箱發送郵件，打開郵件中的連結，就可以重置密碼，原賬戶的密碼可以繞過原來的主人修改成功。在修改賬戶資訊和密碼的過程中，原來的郵箱和手機號會收到賬戶資訊更改的提醒，但如果用戶沒有留意並加以阻止，很可能就被盜刷。

　　優步相關人士告訴記者，代叫是一種違法犯罪行為，優步會配合查處。

　　白帽子駭客稱優步客戶端介面存漏洞

　　乘客沈先生告訴記者，本來覺得自動扣款蠻方便的，但現在看來優步在支付安全和認證方面並沒有做到位。

　　今年3月，一位白帽子駭客在烏雲網上公佈了優步的漏洞，其標題為“Uber 優步客戶端介面設計不當可導致撞庫攻擊”。一位不願透露姓名的烏雲網工作人員告訴記者，盜號過程不算很難，一般駭客，都能操作。在他看來，優步採用了免密支付的流程，一個優步賬號就可以打通這些支付方式，因此優步賬號的價值和重要度非常高。但是，駭客可以用遍歷手機號的方式來猜測弱密碼存在的可能性，也可以根據網際網路已經洩露的用戶資訊進行“撞庫”。“所謂遍歷手機號，就是由於手機號碼格式是固定的，理論上可以用數字窮舉把所有的可能性都嘗試一遍，而且光用123456這樣的密碼就能猜出很多賬號，這樣的探測流程可以用程式自動化實現。”這位工作人員解釋説。

　　這位工作人員告訴記者，白帽子用技術手段在優步客戶端分析得知，優步的客戶端的https證書未做校驗，攻擊者可以偽造證書利用優步的登錄介面進行嘗試。而且優步的賬號可以在多臺設備登錄，登錄錯誤次數也沒有限制，可以一直嘗試下去。此外，優步介面中有一個可以通過姓名和手機號碼查詢用戶的功能，這個也沒有做驗證，白帽子可以批量猜解用戶手機是否註冊了優步。對於這些問題，烏雲平臺表示目前並未收到優步的反饋，“如果在支付時能設一道防線，這種盜刷的現象會好很多。”

　　記者在採訪中發現，很多用戶被盜刷後想解綁支付寶、想聯繫人工客服，都未能很快找到解決方法。記者也沒有在優步客戶端找到解綁支付寶的方法，要通過支付寶客戶端-我的-設置-安全設置-安全中心-賬戶授權管理，才能解綁支付寶。

　　關於人工客服，優步相關人士告訴記者，目前開通了4008196582這個號碼，但主要解決賬戶安全問題。