自己的账户竟然自己都登陆不上去,人在青岛,优步打车软件却频频在北京、上海等外地刷出百元打车账单,支付费用还不需要密码直接付款……7月31日,岛城市民周女士打开自己的账单惊出了一身冷汗,一个手机APP竟然在自己不知情的情况下,几天内悄悄盗刷走上千元费用。记者调查了解到,如此大门洞开式消费并非个例,甚至在网上出现了“优步代叫”灰色产业链。账户安全如何保证,记者就此展开了采访。
乘客优步账户被盗刷近千元车费
“幸亏是及时发现了,要不然还不知道会损失多少钱。”31日,周女士向半岛都市报反映了一件烦心事。
现在出门不装一个手机打车软件用,似乎感觉跟时代已经脱节,周女士是朋友圈当中最先吃“螃蟹”尝鲜的,“我很早就安装优步打车软件了,从今年开始用的次数也开始越来越多,尤其是大热天的,出门之前,第一件事就是打开手机叫上车。”周女士说。
最近,刚结婚生子的周女士已经很少出门,在家只顾着照顾几个月大的孩子,忙得焦头烂额。“因为忙着照顾孩子,所以我已经很久没用我的uber账户,23日晚间收到一个通知,说我的优步在其他设备登陆,我当时也没管。直到30日因为网购要付款发现余额少了不少,去查看账单才发现多了许多优步的支付。”周女士告诉记者。
周女士详细统计了一下,在优步打车软件当中成功完成的支付一共八笔,总计八百多块,单笔最高165.8元。“我没有在优步消费这么多钱啊,而且单笔还有好几单都是一百多元的,一百多元打车都能从青岛到胶南了吧。”周女士吓出了一身冷汗,“当我意识到可能是被盗刷后,就联系了支付宝,取消了授权,紧接着给优步打了电话说明。”
让周女士感到更诡异的是,当打开优步软件使用账户和密码登陆时,竟然提示无法登陆,以注册邮箱找回密码也始终未收到邮件。“这一点在客服那里得到证明,他试图通过我的用户名和手机号获取行程信息,竟然找不到,最终是通过支付宝账号找到的。这很明显,盗号人已经把我的登录账号、密码以及注册邮箱都更改了,太可怕了。”
周女士最终通过客服找回了自己的账户,查看了行程,把账户冻结后重置了密码,最后索回了自己丢失的账户资金。
通过找回的账户,周女士看到,优步账户内的消费记录和支付宝中的支付记录吻合,但是消费记录却显示在北京、上海等多个地方使用优步软件打车,周女士笑称自己中了软件的“分身术”,在25日-28日四天内被盗刷走近千元的车费,如果没有及时发现,可能还会存在继续盗刷的风险。
“我的账户是怎么被盗走的?优步软件是不是存在技术缺陷?”周女士提出了疑问。
低安全“僵尸账户”最易被盗
跟手机中毒、QQ点击链接中毒不同,周女士似乎没有接触过任何不良短信链接,自己长期不用的账户就悄悄被盗了。“我用的手机是苹果手机,这种封闭式系统的手机,百分之百不中毒很难保证,但是至少相对来说是安全的,再说我也没有那种点击乱七八糟链接的习惯,看到垃圾短信我就及时删除了,不可能是操作不当导致密码被盗。”
周女士认为,像优步这种不需要密码就直接支付的做法总让乘客感觉不太安全,“我觉得账号被盗应该是撞库了,因为优步密码和已经存在安全隐患的其他平台密码相同,我现在已经把所有的网络平台的密码都换了。”周女士告诉记者,但是同时认为优步存在的一个安全问题,就是支持邮箱和手机同时改,邮箱和手机是用户信息的两个底线,互为验证的两个关键信息同时被篡改,成为优步用户信息安全隐患。
对于周女士这种说法,很多乘客表示认同,“我用别的打车软件,至少还提示需要我输入支付密码,表示认同付款,优步就不会,下车之后就直接被通知一声,如果司机不来接乘客直接点击到站了,是不是就可以直接拿到乘客的车费了呢,我感觉是不太合适,也不太安全。”乘客王先生认为,“肯定不会有人闲的没事去盗别人的号使用,肯定是为了利益才这么做的。”
通过网络搜索,记者发现,优步软件盗号问题在国内多地已经频繁出现,朋友圈中广泛流传的《Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷》一则微信,让人看了也是不寒而栗。
技术型网友白帽子黑客“土夫子”在乌云网上公布了优步的漏洞,标题为优步客户端接口设计不当可导致撞库攻击,一位熟知手机打车软件漏洞的技术人士分析说:“注册优步是用手机号,优步登陆时却不需要手机验证,而且允许多个设备同时在线,神不知鬼不觉的盗号从技术上不难做到。最容易盗号的,就是那些安全级别低,而且账号密码同时在别的网络使用的‘僵尸账户’。”
网友“差评君”使用网络黑客公布的盗号方式,在网上进行了盗号测试,评价结论是:盗号过程真的还算不难,使用特定软件,设置一个固定的密码,然后再对手机号码进行逐一尝试,几分钟的时间,便成功获得了3个可以成功登陆的账号。
打车软件惊现“优步代叫”灰色产业
那“网络黑客们”盗走优步用户的账号做什么用呢?周女士明明身在青岛,却在自己的账户中多出来那么多外地账单,“网络黑客”们又是如何做到的呢?
对此,一位熟知手机打车软件漏洞的技术人士解释说:“盗走账户只是第一步,盗刷账户才是最终的目的。很多网络黑手就是瞄准了已经绑定支付的‘僵尸账户’,可以让账户主人不会再短时间内发觉。”
就算“网络黑客们”盗走了“僵尸账户”,甚至是正常使用的账户,那么他们如何做到把账户资金进行变现呢?
对此,业内人士解释说,网上出现的“优步代叫”服务,正是这种“黑技术”变现的最好方式。
记者调查了解到,所谓的“优步代叫”,就是乘客不直接使用优步软件打车,而是通过个人qq、微信等方式,跟个人进行联系叫车,相对于优步远距离出行动辄数十元、上百元的价格,“优步代叫”服务号称只需要20元、25元的价格,无论行程远近,就可以实现打车出行。
通过QQ软件、微信搜索,大量优步代叫群及账号存在于网络上,记者随机添加了一个微信公众号,“优步每次20元收费,公里数不限制,如果司机打电话说不接单或者让你取消,告诉我们,我们会为您更换。”一个名为代叫专车平台的微信号介绍说。
“如果司机询问为什么不用软件显示的号码或者显示号码为什么打不通没人接,你就告诉他是朋友帮忙叫车即可。”
这种代叫服务是否合法,优步软件技术上是否存在漏洞,优步公司是否推出了这种“代叫”服务呢?
官方:
被盗号有专门的客服热线,代叫属非法行为
针对一系列问题,记者7月31日采访到优步青岛,对于软件盗刷及软件技术漏洞的问题。优步青岛向本报做出了文字版的官方说明:“优步账户被盗属于法律问题中网络诈骗,是公安机关重点打击的违法犯罪行为,也是国内很多互联网平台遇到的共同挑战。优步重视打击互联网行业的欺诈行为,有经验丰富的网络安全团队,和严格的安全防范措施。优步有信心与用户及互联网行业一道有效打击网络犯罪,保障用户的利益。
优步青岛团队通过智能监测,不断提醒账户安全级别低的用户更改账户密码,降低账户盗号的风险。”
记者采访了解到,一旦用户发现自己的账号可能存在盗号问题,可以直接对账号密码进行更换,此外,还可以使用优步软件内“帮助”的功能,点击进入账户支付方式中的未知收费问题,选择我的账户可能盗用,点击拨打软件提供的客服热线进行投诉。
“优步代叫”是否属于优步软件业务呢?优步青岛解释说:“优步在乘客客户端内的呼叫功能未有‘代叫’功能。网络存在的‘代叫’属于违法行为,优步会联合网络警察给予严惩。”
针对恶性刷单的问题,优步青岛介绍说,恶意刷单行为属于违法行为,优步有权力对于刷单团伙进行法律制裁。
优步通过严谨科学的计算算法与严苛的人工工作,排查刷单司机的不良记录。如有发现类似刷单的违法行为。优步首先给予封号处理,权衡涉案金额大小再执行法律手段。
“请优步用户密切关注优步客户端内弹窗通知,微信平台以及优步官方短信通知,仔细阅读客户端内帮助内的相关细则。优步随时接受用户的反馈和意见,不断改进优步的服务质量与应用程序的完善程度。”青岛优步打车工作人员提醒说。
(半岛记者 郭振亮 实习生 吴灵)
[编辑:光影]分享
大家爱看
