桔子编今天给大家分享的是大家都有所关注的问题优步账户自动扣款有什么漏洞?代叫”黑色产业链形成等进行分享,希望对大家有所帮助。
出门叫专车服务已经成为一种生活现象,专车给人们的出行带来便捷体验。但是,这也产生新的问题,万一账户和密码被盗,其所绑定的支付宝、信用卡也等于“见了天日”。
近日,一些优步用户发现其账号在自己没叫车的情况下被叫车,并且被扣款,有的用户多次遇到此类情况。现在,摆在互联网专车面前的不仅是合法性问题,如何确认支付安全也刻不容缓。
十个小时内“被叫车”七次
6月9日早上,南京一家互联网公司的职员沈先生刚打开手机,就收到了支付宝的付款通知,其优步账户付款350元,付款时间是昨天晚上。对此,沈先生感到非常诧异,因为当时他正在睡觉,压根就没有叫车。
疑虑重重的沈先生打开优步账户,想查看下具体情况,没想到连账户都登录不了。作为互联网公司的产品经理,沈先生第一反应就是要联系客服,可是找来找去没有找到优步的客服电话,只能向优步官方写邮件,要求立即停止他的优步账号使用。
到了晚上,沈先生没有收到回应,因为担心再被叫车,沈先生又发了一封邮件给优步官方,与此同时,为了避免更大的损失,沈先生想了各种办法想停用自动支付功能,最后通过支付宝把优步自动扣款的功能关掉了。
6月10日,即盗刷后的第三天,沈先生接到了优步客服的电话,询问情况后,让沈先生重置了密码,并且返还了他被盗刷的350元。
当沈先生把自己的遭遇在网上反映后,发现有类似遭遇的乘客不在少数。“我算幸运的,很多人根本不知道客服邮件该怎么写,损失都没有挽回。”沈先生说。
杭州的李先生没有沈先生那么幸运,从6月19日下午开始,他的优步就“忙个不停”,从19日下午3点多到20日凌晨短短的十个小时内,他的优步账户被叫了7次,其中最贵的一次车费将近200元。一开始,李先生并没有注意支付宝的付款提醒消息,直到20日早上他才发现。“因为账户和密码被盗了,我通过支付宝解绑了优步支付,没想到我在优步上绑定的一张美国信用卡也被盗刷了几次。”现在,李先生已经把这张信用卡冻结,可是20日发给优步的邮件却迟迟没有得到回音。
修改密码不费劲 催生代叫服务
用过优步的乘客都知道,用户注册后,通常需要绑定支付宝账号。通过优步叫车,在司机将用户送达目的地后,优步系统会通过支付宝账号直接扣费,支付过程不需要用户输入支付密码,因此,从理论上来说,只要优步账号和密码被盗,对方就可以不费周折地使用其支付宝付车费,而这竟然也成了一种“商机”。
记者在淘宝网上搜索“优步代叫”的商品,发现有不少商家都提供此类服务,而同时,他们也售卖优步的优惠券。如果想要优步代叫的服务,不能通过旺旺进行,而是要加卖家的微信。
记者加了一位卖家的微信,该卖家告诉记者,所谓优步代叫,就是乘客只要把自己所在的地方、目的地和手机号告诉卖家,卖家就会用他所拥有的优步账号替乘客叫车,行程结束后,不需要乘客付钱,卖家会支付钱,而乘客要支付给卖家的是此前和卖家谈好的价格。记者咨询了几个卖家,在上海,同城的车费在40元左右一趟,不限距离,不限人数。
根据卖家的解释,其用来叫车的账号都是白号,并没有所谓的盗号。有业内人士告诉记者,很有可能卖家得到了一批优步账号和密码,就用这些账号叫车,支付则是用这些账号绑定的支付宝或信用卡,实际上,不需要卖家付出什么,而且还可以坐收乘客支付的所谓“车费”,这种“代叫”服务其实就是“刷单”产业链的一种。
在乘客被盗刷的过程中,有一个共同的问题是其账户密码会被修改,要修改优步的密码是不是很容易呢?记者尝试了一下,登录优步账户,在其设置中可以看到账户信息,显示该账户注册时的姓名、手机号码和邮箱,点击“编辑账户”,填写验证密码,该密码即账户登录密码。接下去,就可以修改邮箱、手机号码了。如果盗号者把邮箱改成自己的邮箱,其邮箱内会收到确认邮件,只要点击确认邮件上的链接就算改好邮箱了。优步修改密码方式有两种,一种是通过邮件,一种是通过手机号码。以通过邮件修改密码为例,只要点击通过电子邮件修改密码,优步就会向账户确认过的邮箱发送邮件,打开邮件中的链接,就可以重置密码,原账户的密码可以绕过原来的主人修改成功。在修改账户信息和密码的过程中,原来的邮箱和手机号会收到账户信息更改的提醒,但如果用户没有留意并加以阻止,很可能就被盗刷。
优步相关人士告诉记者,代叫是一种违法犯罪行为,优步会配合查处。
白帽子黑客称优步客户端接口存漏洞
乘客沈先生告诉记者,本来觉得自动扣款蛮方便的,但现在看来优步在支付安全和认证方面并没有做到位。
今年3月,一位白帽子黑客在乌云网上公布了优步的漏洞,其标题为“Uber 优步客户端接口设计不当可导致撞库攻击”。一位不愿透露姓名的乌云网工作人员告诉记者,盗号过程不算很难,一般黑客,都能操作。在他看来,优步采用了免密支付的流程,一个优步账号就可以打通这些支付方式,因此优步账号的价值和重要度非常高。但是,黑客可以用遍历手机号的方式来猜测弱密码存在的可能性,也可以根据互联网已经泄露的用户信息进行“撞库”。“所谓遍历手机号,就是由于手机号码格式是固定的,理论上可以用数字穷举把所有的可能性都尝试一遍,而且光用123456这样的密码就能猜出很多账号,这样的探测流程可以用程序自动化实现。”这位工作人员解释说。
这位工作人员告诉记者,白帽子用技术手段在优步客户端分析得知,优步的客户端的https证书未做校验,攻击者可以伪造证书利用优步的登录接口进行尝试。而且优步的账号可以在多台设备登录,登录错误次数也没有限制,可以一直尝试下去。此外,优步接口中有一个可以通过姓名和手机号码查询用户的功能,这个也没有做验证,白帽子可以批量猜解用户手机是否注册了优步。对于这些问题,乌云平台表示目前并未收到优步的反馈,“如果在支付时能设一道防线,这种盗刷的现象会好很多。”
记者在采访中发现,很多用户被盗刷后想解绑支付宝、想联系人工客服,都未能很快找到解决方法。记者也没有在优步客户端找到解绑支付宝的方法,要通过支付宝客户端-我的-设置-安全设置-安全中心-账户授权管理,才能解绑支付宝。
关于人工客服,优步相关人士告诉记者,目前开通了4008196582这个号码,但主要解决账户安全问题。
以上即是关于优步账户自动扣款有什么漏洞?代叫”黑色产业链形成等问题桔子编就给大家介绍到这里了,要是有最新消息桔子会在第一时间和大家分享的。希望这些对大家有所帮助。