骑猪兜风

优步账户自动扣款存漏洞:“代叫”黑色产业链形成

骑猪兜风 2016-06-27 10:51:52    200775 次浏览

出门叫专车服务已经成为一种生活现象,专车给人们的出行带来便捷体验。但是,这也产生新的问题,万一账户和密码被盗,其所绑定的支付宝、信用卡也等于“见了天日”。近日,一些优步用户发现其账号在自己没叫车的情况下被叫车,并且被扣款,有的用户多次遇到此类情况。现在,摆在互联网专车面前的不仅是合法性问题,如何确认支付安全也刻不容缓。

一个盗刷,优步账户不再属于我

自动扣款存漏洞 “代叫”黑色产业链形成

■IT时报记者 潘少颖

十个小时内“被叫车”七次

6月9日早上,南京一家互联网公司的职员沈先生刚打开手机,就收到了支付宝的付款通知,其优步账户付款350元,付款时间是昨天晚上。对此,沈先生感到非常诧异,因为当时他正在睡觉,压根就没有叫车。

疑虑重重的沈先生打开优步账户,想查看下具体情况,没想到连账户都登录不了。作为互联网公司的产品经理,沈先生第一反应就是要联系客服,可是找来找去没有找到优步的客服电话,只能向优步官方写邮件,要求立即停止他的优步账号使用。

到了晚上,沈先生没有收到回应,因为担心再被叫车,沈先生又发了一封邮件给优步官方,与此同时,为了避免更大的损失,沈先生想了各种办法想停用自动支付功能,最后通过支付宝把优步自动扣款的功能关掉了。

6月10日,即盗刷后的第三天,沈先生接到了优步客服的电话,询问情况后,让沈先生重置了密码,并且返还了他被盗刷的350元。

当沈先生把自己的遭遇在网上反映后,发现有类似遭遇的乘客不在少数。“我算幸运的,很多人根本不知道客服邮件该怎么写,损失都没有挽回。”沈先生说。

杭州的李先生没有沈先生那么幸运,从6月19日下午开始,他的优步就“忙个不停”,从19日下午3点多到20日凌晨短短的十个小时内,他的优步账户被叫了7次,其中最贵的一次车费将近200元。一开始,李先生并没有注意支付宝的付款提醒消息,直到20日早上他才发现。“因为账户和密码被盗了,我通过支付宝解绑了优步支付,没想到我在优步上绑定的一张美国信用卡也被盗刷了几次。”现在,李先生已经把这张信用卡冻结,可是20日发给优步的邮件却迟迟没有得到回音。

修改密码不费劲 催生代叫服务

用过优步的乘客都知道,用户注册后,通常需要绑定支付宝账号。通过优步叫车,在司机将用户送达目的地后,优步系统会通过支付宝账号直接扣费,支付过程不需要用户输入支付密码,因此,从理论上来说,只要优步账号和密码被盗,对方就可以不费周折地使用其支付宝付车费,而这竟然也成了一种“商机”。

记者在淘宝网上搜索“优步代叫”的商品,发现有不少商家都提供此类服务,而同时,他们也售卖优步的优惠券。如果想要优步代叫的服务,不能通过旺旺进行,而是要加卖家的微信。

记者加了一位卖家的微信,该卖家告诉记者,所谓优步代叫,就是乘客只要把自己所在的地方、目的地和手机号告诉卖家,卖家就会用他所拥有的优步账号替乘客叫车,行程结束后,不需要乘客付钱,卖家会支付钱,而乘客要支付给卖家的是此前和卖家谈好的价格。记者咨询了几个卖家,在上海,同城的车费在40元左右一趟,不限距离,不限人数。

根据卖家的解释,其用来叫车的账号都是白号,并没有所谓的盗号。有业内人士告诉记者,很有可能卖家得到了一批优步账号和密码,就用这些账号叫车,支付则是用这些账号绑定的支付宝或信用卡,实际上,不需要卖家付出什么,而且还可以坐收乘客支付的所谓“车费”,这种“代叫”服务其实就是“刷单”产业链的一种。

在乘客被盗刷的过程中,有一个共同的问题是其账户密码会被修改,要修改优步的密码是不是很容易呢?记者尝试了一下,登录优步账户,在其设置中可以看到账户信息,显示该账户注册时的姓名、手机号码和邮箱,点击“编辑账户”,填写验证密码,该密码即账户登录密码。接下去,就可以修改邮箱、手机号码了。如果盗号者把邮箱改成自己的邮箱,其邮箱内会收到确认邮件,只要点击确认邮件上的链接就算改好邮箱了。优步修改密码方式有两种,一种是通过邮件,一种是通过手机号码。以通过邮件修改密码为例,只要点击通过电子邮件修改密码,优步就会向账户确认过的邮箱发送邮件,打开邮件中的链接,就可以重置密码,原账户的密码可以绕过原来的主人修改成功。在修改账户信息和密码的过程中,原来的邮箱和手机号会收到账户信息更改的提醒,但如果用户没有留意并加以阻止,很可能就被盗刷。

优步相关人士告诉记者,代叫是一种违法犯罪行为,优步会配合查处。

白帽子黑客称优步客户端接口存漏洞

乘客沈先生告诉记者,本来觉得自动扣款蛮方便的,但现在看来优步在支付安全和认证方面并没有做到位。

今年3月,一位白帽子黑客在乌云网上公布了优步的漏洞,其标题为“Uber 优步客户端接口设计不当可导致撞库攻击”。一位不愿透露姓名的乌云网工作人员告诉记者,盗号过程不算很难,一般黑客,都能操作。在他看来,优步采用了免密支付的流程,一个优步账号就可以打通这些支付方式,因此优步账号的价值和重要度非常高。但是,黑客可以用遍历手机号的方式来猜测弱密码存在的可能性,也可以根据互联网已经泄露的用户信息进行“撞库”。“所谓遍历手机号,就是由于手机号码格式是固定的,理论上可以用数字穷举把所有的可能性都尝试一遍,而且光用123456这样的密码就能猜出很多账号,这样的探测流程可以用程序自动化实现。”这位工作人员解释说。

这位工作人员告诉记者,白帽子用技术手段在优步客户端分析得知,优步的客户端的https证书未做校验,攻击者可以伪造证书利用优步的登录接口进行尝试。而且优步的账号可以在多台设备登录,登录错误次数也没有限制,可以一直尝试下去。此外,优步接口中有一个可以通过姓名和手机号码查询用户的功能,这个也没有做验证,白帽子可以批量猜解用户手机是否注册了优步。对于这些问题,乌云平台表示目前并未收到优步的反馈,“如果在支付时能设一道防线,这种盗刷的现象会好很多。”

记者在采访中发现,很多用户被盗刷后想解绑支付宝、想联系人工客服,都未能很快找到解决方法。记者也没有在优步客户端找到解绑支付宝的方法,要通过支付宝客户端-我的-设置-安全设置-安全中心-账户授权管理,才能解绑支付宝。

关于人工客服,优步相关人士告诉记者,目前开通了4008196582这个号码,但主要解决账户安全问题。

内容加载中