<li id="h3mjd"></li>
    <dl id="h3mjd"><font id="h3mjd"><strong id="h3mjd"></strong></font></dl>
    <input id="h3mjd"><font id="h3mjd"><td id="h3mjd"></td></font></input>

            1. <dl id="h3mjd"></dl>

                    1. <li id="h3mjd"><ins id="h3mjd"><thead id="h3mjd"></thead></ins></li>
                      1. Top
                        首頁 > 網絡和信息安全 > 重磅推薦 > 正文

                        一次盜刷,優步賬戶不再屬于“我”

                        出門叫專車服務已經成為一種生活現象,專車給人們的出行帶來便捷體驗。但是,這也產生新的問題,萬一賬戶和密碼被盜,其所綁定的支付寶、信用卡也等于“見了天日”。
                        發布時間:2016-06-27 14:39        來源:今日頭條        作者:

                        自動扣款存漏洞 “代叫”黑色產業鏈形成

                        出門叫專車服務已經成為一種生活現象,專車給人們的出行帶來便捷體驗。但是,這也產生新的問題,萬一賬戶和密碼被盜,其所綁定的支付寶、信用卡也等于“見了天日”。

                        近日,一些優步用戶發現其賬號在自己沒叫車的情況下被叫車,并且被扣款,有的用戶多次遇到此類情況。現在,擺在互聯網專車面前的不僅是合法性問題,如何確認支付安全也刻不容緩。

                        十個小時內“被叫車”七次

                        6月9日早上,南京一家互聯網公司的職員沈先生剛打開手機,就收到了支付寶的付款通知,其優步賬戶付款350元,付款時間是昨天晚上。對此,沈先生感到非常詫異,因為當時他正在睡覺,壓根就沒有叫車。

                        疑慮重重的沈先生打開優步賬戶,想查看下具體情況,沒想到連賬戶都登錄不了。作為互聯網公司的產品經理,沈先生第一反應就是要聯系客服,可是找來找去沒有找到優步的客服電話,只能向優步官方寫郵件,要求立即停止他的優步賬號使用。

                        到了晚上,沈先生沒有收到回應,因為擔心再被叫車,沈先生又發了一封郵件給優步官方,與此同時,為了避免更大的損失,沈先生想了各種辦法想停用自動支付功能,最后通過支付寶把優步自動扣款的功能關掉了。

                        6月10日,即盜刷后的第三天,沈先生接到了優步客服的電話,詢問情況后,讓沈先生重置了密碼,并且返還了他被盜刷的350元。

                        當沈先生把自己的遭遇在網上反映后,發現有類似遭遇的乘客不在少數。“我算幸運的,很多人根本不知道客服郵件該怎么寫,損失都沒有挽回。”沈先生說。

                        杭州的李先生沒有沈先生那么幸運,從6月19日下午開始,他的優步就“忙個不停”,從19日下午3點多到20日凌晨短短的十個小時內,他的優步賬戶被叫了7次,其中最貴的一次車費將近200元。一開始,李先生并沒有注意支付寶的付款提醒消息,直到20日早上他才發現。“因為賬戶和密碼被盜了,我通過支付寶解綁了優步支付,沒想到我在優步上綁定的一張美國信用卡也被盜刷了幾次。”現在,李先生已經把這張信用卡凍結,可是20日發給優步的郵件卻遲遲沒有得到回音。

                        修改密碼不費勁催生代叫服務

                        用過優步的乘客都知道,用戶注冊后,通常需要綁定支付寶賬號。通過優步叫車,在司機將用戶送達目的地后,優步系統會通過支付寶賬號直接扣費,支付過程不需要用戶輸入支付密碼,因此,從理論上來說,只要優步賬號和密碼被盜,對方就可以不費周折地使用其支付寶付車費,而這竟然也成了一種“商機”。

                        記者在淘寶網上搜索“優步代叫”的商品,發現有不少商家都提供此類服務,而同時,他們也售賣優步的優惠券。如果想要優步代叫的服務,不能通過旺旺進行,而是要加賣家的微信。

                        記者加了一位賣家的微信,該賣家告訴記者,所謂優步代叫,就是乘客只要把自己所在的地方、目的地和手機號告訴賣家,賣家就會用他所擁有的優步賬號替乘客叫車,行程結束后,不需要乘客付錢,賣家會支付錢,而乘客要支付給賣家的是此前和賣家談好的價格。記者咨詢了幾個賣家,在上海,同城的車費在40元左右一趟,不限距離,不限人數。

                        根據賣家的解釋,其用來叫車的賬號都是白號,并沒有所謂的盜號。有業內人士告訴記者,很有可能賣家得到了一批優步賬號和密碼,就用這些賬號叫車,支付則是用這些賬號綁定的支付寶或信用卡,實際上,不需要賣家付出什么,而且還可以坐收乘客支付的所謂“車費”,這種“代叫”服務其實就是“刷單”產業鏈的一種。

                        在乘客被盜刷的過程中,有一個共同的問題是其賬戶密碼會被修改,要修改優步的密碼是不是很容易呢?記者嘗試了一下,登錄優步賬戶,在其設置中可以看到賬戶信息,顯示該賬戶注冊時的姓名、手機號碼和郵箱,點擊“編輯賬戶”,填寫驗證密碼,該密碼即賬戶登錄密碼。接下去,就可以修改郵箱、手機號碼了。如果盜號者把郵箱改成自己的郵箱,其郵箱內會收到確認郵件,只要點擊確認郵件上的鏈接就算改好郵箱了。優步修改密碼方式有兩種,一種是通過郵件,一種是通過手機號碼。以通過郵件修改密碼為例,只要點擊通過電子郵件修改密碼,優步就會向賬戶確認過的郵箱發送郵件,打開郵件中的鏈接,就可以重置密碼,原賬戶的密碼可以繞過原來的主人修改成功。在修改賬戶信息和密碼的過程中,原來的郵箱和手機號會收到賬戶信息更改的提醒,但如果用戶沒有留意并加以阻止,很可能就被盜刷。

                        優步相關人士告訴記者,代叫是一種違法犯罪行為,優步會配合查處。

                        白帽子黑客稱優步客戶端接口存漏洞

                        乘客沈先生告訴記者,本來覺得自動扣款蠻方便的,但現在看來優步在支付安全和認證方面并沒有做到位。

                        今年3月,一位白帽子黑客在烏云網上公布了優步的漏洞,其標題為“Uber 優步客戶端接口設計不當可導致撞庫攻擊”。一位不愿透露姓名的烏云網工作人員告訴記者,盜號過程不算很難,一般黑客,都能操作。在他看來,優步采用了免密支付的流程,一個優步賬號就可以打通這些支付方式,因此優步賬號的價值和重要度非常高。但是,黑客可以用遍歷手機號的方式來猜測弱密碼存在的可能性,也可以根據互聯網已經泄露的用戶信息進行“撞庫”。“所謂遍歷手機號,就是由于手機號碼格式是固定的,理論上可以用數字窮舉把所有的可能性都嘗試一遍,而且光用123456這樣的密碼就能猜出很多賬號,這樣的探測流程可以用程序自動化實現。”這位工作人員解釋說。

                        這位工作人員告訴記者,白帽子用技術手段在優步客戶端分析得知,優步的客戶端的https證書未做校驗,攻擊者可以偽造證書利用優步的登錄接口進行嘗試。而且優步的賬號可以在多臺設備登錄,登錄錯誤次數也沒有限制,可以一直嘗試下去。此外,優步接口中有一個可以通過姓名和手機號碼查詢用戶的功能,這個也沒有做驗證,白帽子可以批量猜解用戶手機是否注冊了優步。對于這些問題,烏云平臺表示目前并未收到優步的反饋,“如果在支付時能設一道防線,這種盜刷的現象會好很多。”

                        記者在采訪中發現,很多用戶被盜刷后想解綁支付寶、想聯系人工客服,都未能很快找到解決方法。記者也沒有在優步客戶端找到解綁支付寶的方法,要通過支付寶客戶端-我的-設置-安全設置-安全中心-賬戶授權管理,才能解綁支付寶。

                         

                        專題訪談

                        合作站點
                        stat
                        新疆体彩十一选五