自己的賬戶竟然自己都登陸不上去,人在青島�,優步打車軟件卻頻頻在北京、上海等外地刷出百元打車賬單��,支付費用還不需要密碼直接付款……7月31日��,島城市民周女士打開自己的賬單驚出了一身冷汗����,一個手機APP竟然在自己不知情的情況下,幾天內悄悄盜刷走上千元費用�。記者調查了解到,如此大門洞開式消費并非個例�����,甚至在網上出現了“優步代叫”灰色產業鏈�����。賬戶安全如何保證,記者就此展開了采訪����。
乘客優步賬戶被盜刷近千元車費
“幸虧是及時發現了,要不然還不知道會損失多少錢��。”31日�,周女士向半島都市報反映了一件煩心事。
現在出門不裝一個手機打車軟件用�����,似乎感覺跟時代已經脫節�����,周女士是朋友圈當中最先吃“螃蟹”嘗鮮的����,“我很早就安裝優步打車軟件了,從今年開始用的次數也開始越來越多��,尤其是大熱天的��,出門之前,第一件事就是打開手機叫上車����。”周女士說。
最近�,剛結婚生子的周女士已經很少出門�,在家只顧著照顧幾個月大的孩子,忙得焦頭爛額��。“因為忙著照顧孩子�,所以我已經很久沒用我的uber賬戶,23日晚間收到一個通知�����,說我的優步在其他設備登陸�,我當時也沒管。直到30日因為網購要付款發現余額少了不少����,去查看賬單才發現多了許多優步的支付。”周女士告訴記者�。
周女士詳細統計了一下,在優步打車軟件當中成功完成的支付一共八筆����,總計八百多塊��,單筆最高165.8元�。“我沒有在優步消費這么多錢啊����,而且單筆還有好幾單都是一百多元的,一百多元打車都能從青島到膠南了吧�����。”周女士嚇出了一身冷汗����,“當我意識到可能是被盜刷后,就聯系了支付寶��,取消了授權�����,緊接著給優步打了電話說明�����。”
讓周女士感到更詭異的是,當打開優步軟件使用賬戶和密碼登陸時��,竟然提示無法登陸����,以注冊郵箱找回密碼也始終未收到郵件。“這一點在客服那里得到證明�,他試圖通過我的用戶名和手機號獲取行程信息,竟然找不到�����,最終是通過支付寶賬號找到的�。這很明顯���,盜號人已經把我的登錄賬號���、密碼以及注冊郵箱都更改了,太可怕了�����。”
周女士最終通過客服找回了自己的賬戶����,查看了行程���,把賬戶凍結后重置了密碼,最后索回了自己丟失的賬戶資金�����。
通過找回的賬戶���,周女士看到�����,優步賬戶內的消費記錄和支付寶中的支付記錄吻合�����,但是消費記錄卻顯示在北京�、上海等多個地方使用優步軟件打車����,周女士笑稱自己中了軟件的“分身術”,在25日-28日四天內被盜刷走近千元的車費,如果沒有及時發現�,可能還會存在繼續盜刷的風險。
“我的賬戶是怎么被盜走的?優步軟件是不是存在技術缺陷?”周女士提出了疑問�����。
低安全“僵尸賬戶”最易被盜
跟手機中毒�����、QQ點擊鏈接中毒不同�����,周女士似乎沒有接觸過任何不良短信鏈接����,自己長期不用的賬戶就悄悄被盜了���。“我用的手機是蘋果手機�����,這種封閉式系統的手機�,百分之百不中毒很難保證�����,但是至少相對來說是安全的,再說我也沒有那種點擊亂七八糟鏈接的習慣��,看到垃圾短信我就及時刪除了����,不可能是操作不當導致密碼被盜。”
周女士認為��,像優步這種不需要密碼就直接支付的做法總讓乘客感覺不太安全��,“我覺得賬號被盜應該是撞庫了�����,因為優步密碼和已經存在安全隱患的其他平臺密碼相同����,我現在已經把所有的網絡平臺的密碼都換了。”周女士告訴記者����,但是同時認為優步存在的一個安全問題,就是支持郵箱和手機同時改,郵箱和手機是用戶信息的兩個底線�����,互為驗證的兩個關鍵信息同時被篡改����,成為優步用戶信息安全隱患。
對于周女士這種說法�����,很多乘客表示認同���,“我用別的打車軟件����,至少還提示需要我輸入支付密碼�����,表示認同付款���,優步就不會,下車之后就直接被通知一聲,如果司機不來接乘客直接點擊到站了����,是不是就可以直接拿到乘客的車費了呢,我感覺是不太合適��,也不太安全��。”乘客王先生認為��,“肯定不會有人閑的沒事去盜別人的號使用�����,肯定是為了利益才這么做的�。”
通過網絡搜索,記者發現�,優步軟件盜號問題在國內多地已經頻繁出現,朋友圈中廣泛流傳的《Uber的一個大漏洞曝光����,你的支付寶可能因此被盜刷》一則微信,讓人看了也是不寒而栗��。
技術型網友白帽子黑客“土夫子”在烏云網上公布了優步的漏洞��,標題為優步客戶端接口設計不當可導致撞庫攻擊,一位熟知手機打車軟件漏洞的技術人士分析說:“注冊優步是用手機號�,優步登陸時卻不需要手機驗證,而且允許多個設備同時在線��,神不知鬼不覺的盜號從技術上不難做到�����。最容易盜號的����,就是那些安全級別低,而且賬號密碼同時在別的網絡使用的‘僵尸賬戶’����。”
網友“差評君”使用網絡黑客公布的盜號方式,在網上進行了盜號測試�����,評價結論是:盜號過程真的還算不難����,使用特定軟件,設置一個固定的密碼���,然后再對手機號碼進行逐一嘗試��,幾分鐘的時間�����,便成功獲得了3個可以成功登陸的賬號����。
打車軟件驚現“優步代叫”灰色產業
那“網絡黑客們”盜走優步用戶的賬號做什么用呢?周女士明明身在青島��,卻在自己的賬戶中多出來那么多外地賬單���,“網絡黑客”們又是如何做到的呢?
對此���,一位熟知手機打車軟件漏洞的技術人士解釋說:“盜走賬戶只是第一步,盜刷賬戶才是最終的目的�。很多網絡黑手就是瞄準了已經綁定支付的‘僵尸賬戶’,可以讓賬戶主人不會再短時間內發覺��。”
就算“網絡黑客們”盜走了“僵尸賬戶”��,甚至是正常使用的賬戶�����,那么他們如何做到把賬戶資金進行變現呢?
對此,業內人士解釋說����,網上出現的“優步代叫”服務,正是這種“黑技術”變現的最好方式�。
記者調查了解到,所謂的“優步代叫”��,就是乘客不直接使用優步軟件打車�����,而是通過個人qq�����、微信等方式��,跟個人進行聯系叫車���,相對于優步遠距離出行動輒數十元��、上百元的價格����,“優步代叫”服務號稱只需要20元����、25元的價格,無論行程遠近�����,就可以實現打車出行�。
通過QQ軟件、微信搜索���,大量優步代叫群及賬號存在于網絡上���,記者隨機添加了一個微信公眾號,“優步每次20元收費�,公里數不限制,如果司機打電話說不接單或者讓你取消�����,告訴我們�����,我們會為您更換。”一個名為代叫專車平臺的微信號介紹說�����。
“如果司機詢問為什么不用軟件顯示的號碼或者顯示號碼為什么打不通沒人接���,你就告訴他是朋友幫忙叫車即可����。”
這種代叫服務是否合法��,優步軟件技術上是否存在漏洞�����,優步公司是否推出了這種“代叫”服務呢?
官方:
被盜號有專門的客服熱線����,代叫屬非法行為
針對一系列問題,記者7月31日采訪到優步青島����,對于軟件盜刷及軟件技術漏洞的問題�����。優步青島向本報做出了文字版的官方說明:“優步賬戶被盜屬于法律問題中網絡詐騙����,是公安機關重點打擊的違法犯罪行為��,也是國內很多互聯網平臺遇到的共同挑戰�����。優步重視打擊互聯網行業的欺詐行為�,有經驗豐富的網絡安全團隊�����,和嚴格的安全防范措施�����。優步有信心與用戶及互聯網行業一道有效打擊網絡犯罪�,保障用戶的利益。
優步青島團隊通過智能監測,不斷提醒賬戶安全級別低的用戶更改賬戶密碼��,降低賬戶盜號的風險���。”
記者采訪了解到�,一旦用戶發現自己的賬號可能存在盜號問題��,可以直接對賬號密碼進行更換��,此外��,還可以使用優步軟件內“幫助”的功能����,點擊進入賬戶支付方式中的未知收費問題,選擇我的賬戶可能盜用����,點擊撥打軟件提供的客服熱線進行投訴。
“優步代叫”是否屬于優步軟件業務呢?優步青島解釋說:“優步在乘客客戶端內的呼叫功能未有‘代叫’功能��。網絡存在的‘代叫’屬于違法行為�����,優步會聯合網絡警察給予嚴懲。”
針對惡性刷單的問題�����,優步青島介紹說���,惡意刷單行為屬于違法行為����,優步有權力對于刷單團伙進行法律制裁��。
優步通過嚴謹科學的計算算法與嚴苛的人工工作�,排查刷單司機的不良記錄���。如有發現類似刷單的違法行為�����。優步首先給予封號處理�����,權衡涉案金額大小再執行法律手段���。
“請優步用戶密切關注優步客戶端內彈窗通知�����,微信平臺以及優步官方短信通知�����,仔細閱讀客戶端內幫助內的相關細則����。優步隨時接受用戶的反饋和意見�����,不斷改進優步的服務質量與應用程序的完善程度���。”青島優步打車工作人員提醒說�。
(半島記者 郭振亮 實習生 吳靈)
[編輯:光影]
