優步賬戶自動扣款存漏洞:“代叫”黑色産業鏈形成
- 發佈時間:2016-06-27 13:23:13 來源:大河網 責任編輯:書海
一個盜刷,優步賬戶不再屬於我
自動扣款存漏洞 “代叫”黑色産業鏈形成
-IT時報記者 潘少穎
出門叫專車服務已經成為一種生活現象,專車給人們的出行帶來便捷體驗。但是,這也産生新的問題,萬一賬戶和密碼被盜,其所綁定的支付寶、信用卡也等於“見了天日”。
近日,一些優步用戶發現其賬號在自己沒叫車的情況下被叫車,並且被扣款,有的用戶多次遇到此類情況。現在,擺在網際網路專車面前的不僅是合法性問題,如何確認支付安全也刻不容緩。
十個小時內“被叫車”七次
6月9日早上,南京一家網際網路公司的職員沈先生剛打開手機,就收到了支付寶的付款通知,其優步賬戶付款350元,付款時間是昨天晚上。對此,沈先生感到非常詫異,因為當時他正在睡覺,壓根就沒有叫車。
疑慮重重的沈先生打開優步賬戶,想查看下具體情況,沒想到連賬戶都登錄不了。作為網際網路公司的産品經理,沈先生第一反應就是要聯繫客服,可是找來找去沒有找到優步的客服電話,只能向優步官方寫郵件,要求立即停止他的優步賬號使用。
到了晚上,沈先生沒有收到回應,因為擔心再被叫車,沈先生又發了一封郵件給優步官方,與此同時,為了避免更大的損失,沈先生想了各種辦法想停用自動支付功能,最後通過支付寶把優步自動扣款的功能關掉了。
6月10日,即盜刷後的第三天,沈先生接到了優步客服的電話,詢問情況後,讓沈先生重置了密碼,並且返還了他被盜刷的350元。
當沈先生把自己的遭遇在網上反映後,發現有類似遭遇的乘客不在少數。“我算幸運的,很多人根本不知道客服郵件該怎麼寫,損失都沒有挽回。”沈先生説。
杭州的李先生沒有沈先生那麼幸運,從6月19日下午開始,他的優步就“忙個不停”,從19日下午3點多到20日淩晨短短的十個小時內,他的優步賬戶被叫了7次,其中最貴的一次車費將近200元。一開始,李先生並沒有注意支付寶的付款提醒消息,直到20日早上他才發現。“因為賬戶和密碼被盜了,我通過支付寶解綁了優步支付,沒想到我在優步上綁定的一張美國信用卡也被盜刷了幾次。”現在,李先生已經把這張信用卡凍結,可是20日發給優步的郵件卻遲遲沒有得到回音。
修改密碼不費勁 催生代叫服務
用過優步的乘客都知道,用戶註冊後,通常需要綁定支付寶賬號。通過優步叫車,在司機將用戶送達目的地後,優步系統會通過支付寶賬號直接扣費,支付過程不需要用戶輸入支付密碼,因此,從理論上來説,只要優步賬號和密碼被盜,對方就可以不費週折地使用其支付寶付車費,而這竟然也成了一種“商機”。
記者在淘寶網上搜索“優步代叫”的商品,發現有不少商家都提供此類服務,而同時,他們也售賣優步的優惠券。如果想要優步代叫的服務,不能通過旺旺進行,而是要加賣家的微信。
記者加了一位賣家的微信,該賣家告訴記者,所謂優步代叫,就是乘客只要把自己所在的地方、目的地和手機號告訴賣家,賣家就會用他所擁有的優步賬號替乘客叫車,行程結束後,不需要乘客付錢,賣家會支付錢,而乘客要支付給賣家的是此前和賣家談好的價格。記者諮詢了幾個賣家,在上海,同城的車費在40元左右一趟,不限距離,不限人數。
根據賣家的解釋,其用來叫車的賬號都是白號,並沒有所謂的盜號。有業內人士告訴記者,很有可能賣家得到了一批優步賬號和密碼,就用這些賬號叫車,支付則是用這些賬號綁定的支付寶或信用卡,實際上,不需要賣家付出什麼,而且還可以坐收乘客支付的所謂“車費”,這種“代叫”服務其實就是“刷單”産業鏈的一種。
在乘客被盜刷的過程中,有一個共同的問題是其賬戶密碼會被修改,要修改優步的密碼是不是很容易呢?記者嘗試了一下,登錄優步賬戶,在其設置中可以看到賬戶資訊,顯示該賬戶註冊時的姓名、手機號碼和郵箱,點擊“編輯賬戶”,填寫驗證密碼,該密碼即賬戶登錄密碼。接下去,就可以修改郵箱、手機號碼了。如果盜號者把郵箱改成自己的郵箱,其郵箱內會收到確認郵件,只要點擊確認郵件上的連結就算改好郵箱了。優步修改密碼方式有兩種,一種是通過郵件,一種是通過手機號碼。以通過郵件修改密碼為例,只要點擊通過電子郵件修改密碼,優步就會向賬戶確認過的郵箱發送郵件,打開郵件中的連結,就可以重置密碼,原賬戶的密碼可以繞過原來的主人修改成功。在修改賬戶資訊和密碼的過程中,原來的郵箱和手機號會收到賬戶資訊更改的提醒,但如果用戶沒有留意並加以阻止,很可能就被盜刷。
優步相關人士告訴記者,代叫是一種違法犯罪行為,優步會配合查處。
白帽子駭客稱優步客戶端介面存漏洞
乘客沈先生告訴記者,本來覺得自動扣款蠻方便的,但現在看來優步在支付安全和認證方面並沒有做到位。
今年3月,一位白帽子駭客在烏雲網上公佈了優步的漏洞,其標題為“Uber 優步客戶端介面設計不當可導致撞庫攻擊”。一位不願透露姓名的烏雲網工作人員告訴記者,盜號過程不算很難,一般駭客,都能操作。在他看來,優步採用了免密支付的流程,一個優步賬號就可以打通這些支付方式,因此優步賬號的價值和重要度非常高。但是,駭客可以用遍歷手機號的方式來猜測弱密碼存在的可能性,也可以根據網際網路已經洩露的用戶資訊進行“撞庫”。“所謂遍歷手機號,就是由於手機號碼格式是固定的,理論上可以用數字窮舉把所有的可能性都嘗試一遍,而且光用123456這樣的密碼就能猜出很多賬號,這樣的探測流程可以用程式自動化實現。”這位工作人員解釋説。
這位工作人員告訴記者,白帽子用技術手段在優步客戶端分析得知,優步的客戶端的https證書未做校驗,攻擊者可以偽造證書利用優步的登錄介面進行嘗試。而且優步的賬號可以在多臺設備登錄,登錄錯誤次數也沒有限制,可以一直嘗試下去。此外,優步介面中有一個可以通過姓名和手機號碼查詢用戶的功能,這個也沒有做驗證,白帽子可以批量猜解用戶手機是否註冊了優步。對於這些問題,烏雲平臺表示目前並未收到優步的反饋,“如果在支付時能設一道防線,這種盜刷的現象會好很多。”
記者在採訪中發現,很多用戶被盜刷後想解綁支付寶、想聯繫人工客服,都未能很快找到解決方法。記者也沒有在優步客戶端找到解綁支付寶的方法,要通過支付寶客戶端-我的-設置-安全設置-安全中心-賬戶授權管理,才能解綁支付寶。
關於人工客服,優步相關人士告訴記者,目前開通了4008196582這個號碼,但主要解決賬戶安全問題。