优步存漏洞客户账号被盗 人在成都却在武汉打车

17.06.2016  10:51

优步行程单显示成都市民黎先生15日在武汉打车。

15日凌晨,家住成都的黎先生正在熟睡。可是他没想到,自己的优步账户已经被盗号。早上9点多,自己的账户已经出现在千里之外的武汉。由于优步自身默认开启的免密支付。黎先生赶忙将自己的银行卡冻结。

对此优步方面回应称,黎先生的情况可能是由于撞库。并表示一直在提醒用户,设置不重复的密码。不过对于设置二次密码方面的问题,优步方避而不谈。

  事件 凌晨2点收到改密邮件

黎先生今年装上了优步。不过在今年5月10日之后,他选择了另一更便宜的叫车软件。然而,已经停用的优步却像一颗定时炸弹,在一个月后突然“炸了”。

15日早上7点左右,黎先生准备起床时顺手拿起了手机,此时的手机上显示了一封未读邮件,接收时间为凌晨2点左右。邮件上写着,黎先生的优步账户,包括手机号码和电子邮件信息已经被更新。邮件还提示,如果本人没有进行修改,还需点击一个链接。

不过由于睡眼惺忪,加之对链接存疑,他并未在意。随后便出门上班。到了上午9点多,黎先生突然收到一条短信,信用卡也已经预扣了6元多。随后优步APP也提示,预约的车辆已经到达。然而黎先生发现,自己已经无法用自己的账户在优步上登录。

  “自己”在武汉乘车被扣款

眼见自己的信用卡被扣钱,黎先生赶忙将自己银行卡冻结。随后想起了早晨的邮件上的链接。输入自己的邮箱后,系统提示将给他发送一条修改密码的链接,但是这样的链接黎先生却一直没有收到。

“打车用不了多少钱,但是信用卡随时被别人用影响我的信用就不得了了。”黎先生告诉记者,由于没等到优步客服的邮件回复,他几经辗转,找到了一个名为“Uber成都”的微博号,才与优步方面取得联系。“优步的人私信说,我的账户今天在武汉坐了一段路。”

下午1点左右,经过优步方面的处理,黎先生告诉记者,目前自己已经能够登上自己的账户。“之前我在网上看到有些人账号被盗的事情,没想到真的发生在了自己身上。”随后,黎先生立马将自己的优步账户删除。

  疑问

  为何盗号频发?优步存漏洞或被撞库攻击

事实上,本月成都已有两位市民优步账户被盗。此外,今年广州、上海等地也都发生了类似事件。频频发生的优步用户账户密码被盗事件,作为厂商的优步是否在保护用户账号密码安全方面也有欠缺呢?

记者在国内著名安全问题反馈及发布平台乌云网上发现,早在今年3月就已经有作者提交了优步客户端接口设计漏洞,并指出这一漏洞将可能导致撞库攻击。

所谓“撞库”,是由于很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址。

“优步用户的账号密码发生泄露非常有可能是与撞库攻击相关。”猎豹移动安全工程师李铁军告诉记者,撞库攻击在国内信息安全领域是非常常见的攻击,不少用 户对优步账户的安全不太在意,而优步本身产品设计的问题使得用户要将银行卡和账户解绑非常困难,这是导致优步账户被盗现象高发的原因。

  如何避免盗号?优步尚有多处需要改进

盗号频发是否与撞库攻击导致用户账号密码泄露有关?对此,优步回应称确与撞库攻击相关,并表示。“优步一直通过多种途径提醒广大用户在设置密码时选择复 杂且独特的密码,避免在多个互联网平台使用同样的账户名和密码。”同时,Uber表示,近日检测到一些用户的账户存在潜在风险,已启动特别保护程序。

李铁军认为,产品设计上仅仅使用“用户名+密码”的验证方式其实是非常不安全的。优步作为厂商应当对账号系统安全问题进行升级,加入短信或动态密码验证。

乌云网创始人方小航表示,由于国内信息安全漏洞较多,因此用户账户密码泄露的情况也十分普遍,而优步作为外企,在这方面的经验可能有所不足。“优步完全 可以从用户登录等方面进行一些限制,或是对用户异地登录时进行提醒等。另外在行程结束后用户支付时,再次进行验证避免直接扣款套现也是厂商可以采取的安全 措施。”方小航说。回应 柳甄:会在安全与便捷中作平衡

记者发现,优步在绑定支付方式时默认的是免密支付,有业内人士认为,正是优步这样的特性导致这种方式可能会引起黑客的注意,Uber有没有可能改成选择密码支付或免密支付?

对此问题,中国优步高级副总裁柳甄回答说,“我们一直想在便捷和安全、效率方面做一个最好的平衡,有很多人觉得如果下了车什么都不用做,优步就自动结账 了,这样的感觉非常流畅。因为连Apple Pay还要指纹支付。我们想在不牺牲用户便捷和体验的同时加强安全和风险控制之间寻找一个平衡。”

不过,在最近的两三个月里,成都投诉优步的案例明显增多,5、6月间见诸报道的已经超过5起。对此柳甄回应“接到投诉的这个比例没有增加,只是因为我们的用户数量猛涨,上了量之后就会让人感觉投诉增多。”(华西都市报记者赵雅儒杨尚智)