人未离青,却在京沪“打优步” 市民周女士优步账户四天被盗刷八次,无密码支付方式被指存漏洞

周女士优步账户被盗刷的记录

制图/谭云滨□半岛记者郭振亮实习生吴灵

人在青岛,自己的优步账户却频频在北京、上海等地刷出百元打车账单,支付费用还不需要密码直接付款……7月31日,岛城市民周女士打开自己的账单时惊出了一身冷汗,在自己不知情的情况下,她的优步账户几天内被悄悄盗刷了800多元费用。记者调查了解到,如此大门洞开式消费并非个例,甚至在网上出现了“优步代叫”灰色产业链。账户安全如何保证?记者就此展开了采访。

人在青岛却在外地“打车”

“幸亏是及时发现了,要不然还不知道会损失多少钱。”7月31日,周女士向本报反映了一件烦心事。

现在出门不装一个手机打车软件用,似乎感觉跟时代已经脱节。“我很早就安装优步打车软件了,因为忙着照顾孩子,所以我已经很久没用我的uber账户了。7月23日晚,收到一个通知,说我的优步账户在其他设备登录,我当时也没管。直到7月30日因为网购要付款发现余额少了不少,去查看账单才发现多了许多优步的支付。”周女士告诉记者。

周女士详细统计了一下,在优步打车软件当中成功完成的支付一共八笔,总计800多元,单笔最高165.8元。“我没有在优步消费这么多钱啊,而且单笔还有好几单都是一百多元的,一百多元打车都能从市区到郊区了吧。”周女士吓出了一身冷汗,“当我意识到可能是被盗刷后,就联系了支付宝,取消了授权,紧接着给优步打了电话说明。”

让周女士感到更诡异的是,当打开优步软件使用账号和密码登录时,竟然提示无法登录,以注册邮箱找回密码也始终未收到邮件。“这一点在客服那里得到证明,他试图通过我的用户名和手机号获取行程信息,竟然找不到,最终是通过支付宝账号找到的。这很明显,盗号人已经把我的登录账号、密码以及注册邮箱都更改了,太可怕了。”

周女士最终通过客服找回了自己的账户,查看了行程,把账户冻结后重置了密码,最后索回了自己丢失的账户资金。

通过找回的账户,周女士看到,优步账户内的消费记录和支付宝中的支付记录吻合。消费记录显示,7月25日至28日,有人在北京、上海等多个地方使用她的账户打车。

“我的账户是怎么被盗走的?优步软件是不是存在技术缺陷?”周女士提出了疑问。

低安全“僵尸账户”最易被盗

跟手机中毒、QQ点击链接中毒不同,周女士似乎没有接触过任何不良短信链接,自己长期不用的账户就悄悄被盗了。“我用的是苹果手机,这种封闭式系统的手机,百分之百不中毒很难保证,但是至少相对来说是安全的,再说我也没有点击乱七八糟链接的习惯,看到垃圾短信我就及时删除了,不可能是操作不当导致密码被盗。”

周女士认为,像优步这种不需要密码就直接支付的做法总让乘客感觉不太安全,“我觉得账号被盗应该是撞库了,因为优步密码和已经存在安全隐患的其他平台密码相同,我现在已经把所有的网络平台的密码都换了。”周女士认为优步存在的一个安全问题,就是支持邮箱和手机同时改,邮箱和手机是用户信息的两个底线,互为验证的两个关键信息同时被篡改,成为优步用户信息安全隐患。

对于周女士这种说法,很多乘客表示认同,“我用别的打车软件,至少还提示需要我输入支付密码,表示认同付款,优步就不会,下车之后就直接被通知一声,如果司机不来接乘客直接点击到站了,是不是就可以直接拿到乘客的车费了呢,我感觉是不太合适,也不太安全。”乘客王先生认为,“肯定不会有人闲着没事去盗别人的号使用,肯定是为了利益才这么做的。”

通过网络搜索,记者发现,优步软件盗号问题在国内多地已经频繁出现,朋友圈中广泛流传的一则微信“Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷”,让人看了也是不寒而栗。

一位熟知手机打车软件漏洞的技术人士分析说:“注册优步是用手机号,优步登录时却不需要手机验证,而且允许多个设备同时在线,神不知鬼不觉的盗号从技术上不难做到。最容易盗号的,就是那些安全级别低,而且账号密码同时在别的网络使用的‘僵尸账户\’。”

网友“差评君”使用网络黑客公布的盗号方式,在网上进行了盗号测试,评价结论是:盗号过程真的还算不难,使用特定软件,设置一个固定的密码,然后再对手机号码进行逐一尝试,几分钟的时间,便成功获得了3个可以成功登录的账号。

网上出现“优步代叫”服务

一位熟知手机打车软件漏洞的技术人士解释说:“盗走账号只是第一步,盗刷账户才是最终的目的。很多网络黑手就是瞄准了已经绑定支付的‘僵尸账户\’,可以让账户主人不会在短时间内发觉。”

就算“网络黑客们”盗走了“僵尸账户”,甚至是正常使用的账户,那么他们如何做到对账户资金进行变现呢?

对此,业内人士解释说,网上出现的“优步代叫”服务,正是这种“黑技术”变现的最好方式。

记者调查了解到,所谓的“优步代叫”,就是乘客不直接使用优步软件打车,而是通过个人QQ、微信等方式,跟个人进行联系叫车,相对于优步远距离出行动辄数十元、上百元的价格,“优步代叫”服务号称只需要20元、25元的价格,无论行程远近,就可以实现打车出行。

通过QQ软件、微信搜索,大量优步代叫群及账号存在于网络上。记者随机添加了一个微信公众号,“优步每次20元收费,公里数不限制,如果司机打电话说不接单或者让你取消,告诉我们,我们会为您更换。”一个名为代叫专车平台的微信号介绍说。

“如果司机询问为什么不用软件显示的号码或者显示号码为什么打不通没人接,你就告诉他是朋友帮忙叫车即可。”

回应恶意刷单首先封号处理

针对一系列问题,记者7月31日采访了优步青岛。对于软件盗刷及软件技术漏洞的问题,优步青岛向本报提供了文字版的官方说明:“优步账户被盗属于法律问题中的网络诈骗,是公安机关重点打击的违法犯罪行为,也是国内很多互联网平台遇到的共同挑战。优步重视打击互联网行业的欺诈行为,有经验丰富的网络安全团队和严格的安全防范措施。优步有信心与用户及互联网行业一道有效打击网络犯罪,保障用户的利益。优步青岛团队通过智能监测,不断提醒账户安全级别低的用户更改账户密码,降低账户盗号的风险。”

记者采访了解到,一旦用户发现自己的账号可能存在盗号问题,可以直接对账号密码进行更换。此外,还可以使用优步软件内“帮助”的功能,点击进入账户支付方式中的未知收费问题,选择我的账户可能盗用,点击拨打软件提供的客服热线进行投诉。

“优步代叫”是否属于优步软件业务呢?优步青岛解释说:“优步在乘客客户端内的呼叫功能未有‘代叫\’功能。网络存在的‘代叫\’属于违法行为,优步会联合网络警察给予严惩。”

针对恶意刷单问题,优步青岛介绍说,恶意刷单行为属于违法行为。优步通过严谨科学的计算算法与严苛的人工工作,排查刷单司机的不良记录。如有发现类似刷单的违法行为。优步首先给予封号处理,权衡涉案金额大小再采取法律手段。

“请优步用户密切关注优步客户端内弹窗通知,微信平台以及优步官方短信通知,仔细阅读客户端内帮助内的相关细则。优步随时接受用户的反馈和意见,不断改进优步的服务质量与应用程序的完善程度。”优步青岛打车工作人员说。

新闻推荐

青岛服役,意外遭遇日德战争 多次遇险 死里逃生

青岛的第一次坠机事件。普吕肖夫驾驶鸽式飞机与日机作战(插画)普吕肖夫和从飞机上拆卸下来的发动机飞机被烧毁狭路相逢,几次险被击落结束使命,依依不舍撤离青岛令普吕肖夫头疼的是,日军...

青岛新闻，讲述家乡的故事。有观点、有态度，接地气的实时新闻，传播青岛正能量。看家乡事，品故乡情。家的声音，天涯咫尺。