人民网
人民网>>IT

打车软件“代叫”黑色产业链蔓延

本报记者 唐逸如
2016年07月11日07:14 | 来源:人民网-国际金融报 
小字号

  柏可林 摄

  随着Uber、滴滴等叫车软件的普及,越来越多的用户已经习惯出行前通过叫车软件打车。但是,近日却有媒体曝光Uber叫车软件存在漏洞,导致用户账号被盗,甚至在异地完成了叫车服务,给用户带来金钱方面的损失,并由此衍生出一条“代叫”黑色产业链的新闻。

  《国际金融报》记者发现,大部分用户对Uber的质疑集中在三个方面。其一,Uber客户端存在漏洞,导致黑客可以在用户毫不知情的情况下盗取账号并修改密码。其二,Uber在行程结束后会自动通过已绑定的支付方式扣除车费,而无需验证和输密环节。这一免密支付功能给“代叫者”提供了可趁之机。其三,Uber在注册账号时要求至少绑定一种支付方式,用户在发现账号被盗时无法解绑所有支付方式,可能造成额外的金钱损失。

  针对上述三个问题,《国际金融报》记者联系Uber中国进行采访,但至今尚未收到回复。不过,此前Uber中国方面曾回应媒体称,“盗号问题”是很多互联网平台遇到的共同挑战,Uber的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。

  目前,《国际金融报》记者在微博、淘宝、微信等平台搜索关键字“Uber”、“代叫”,依然可以找到相关链接。

  免密支付惹的祸?

  《国际金融报》记者在微博上搜索“Uber”、“盗号”等关键字后,发现不少微博用户都遭遇过Uber盗号事件。根据他们的描述,Uber账号被盗是一个后知后觉的过程。大部分人表示自己明明没有叫车,却收到了“车到目的地”的消息,此时才发觉自己的Uber账号被盗了。

  更有甚者,是在收到支付宝或者银行信用卡的扣款信息后,才发现Uber账号被盗的事实。但是,当大部分用户想要登录Uber账号修改密码时,却发现包括手机号码、邮箱在内的登录信息已经被修改,导致无法重置密码。

  微博用户“杭之冯玥均建国后成精”因此质疑,“Uber这样的大公司,是怎么允许不经过验证,就同时修改预留信箱和预留手机号的?如果这两样都已经被盗号者修改的话,请问原账号拥有者如何找回密码?”

  由于Uber付款采用免密支付的方式,因此大部分用户在发现账号被盗之后,第一反应是解除绑定支付宝、银行信用卡等支付方式。但《国际金融报》记者查阅Uber用户帮助信息,发现目前只支持支付宝和百度钱包的人工解绑服务。此外,由于Uber要求至少要绑定一种支付方式,导致许多用户只能通过冻结支付宝或信用卡的方式避免损失。

  据了解,在注册Uber账号时,有以下两种方式:授权支付宝账号直接登录,或用邮箱、手机号码进行注册,随后,在百度钱包、银联、支付宝、国际信用卡中,至少添加一种付款方式进行绑定;添加支付方式后,用户在行程结束后,无需输入支付密码,便可自动支付。

  《国际金融报》记者发现Uber用户在关联支付宝账号时,默认同意《Uber代扣服务协议》。这份协议中规定,“收到商户的请款请求后,支付宝将按直接借记模式为您提供本服务,您授权支付宝可以根据商户的请款请求直接扣款完成您的支付而无需您在每次付款时再行确认发出支付指令。”

  而Uber原本以为用户带来流畅体验为初衷设计的“免密支付”功能,现在却被大量用户诟病:一旦账号被盗,绑定的支付方式就有被不法分子消费的巨大风险。

  “撞库”攻击导致盗号

  那么,为什么Uber用户的账号会被盗呢?事实上,早在3月23日,就有网友指出Uber客户端存在漏洞可能导致“撞库”攻击。

  根据网友的调查,由于Uber注册时使用的是手机号,但登录时却不需要手机验证码验证,加之由于Uber客户端允多台设备在线且没有异地登陆提醒,导致黑客可以通过“暴力破解”的方式盗取账号,并修改邮箱和密码。

  而知乎网友“莫名”则指出另一个利用邮箱盗号的漏洞。他表示,黑客利用邮箱撞库拿到密码后,可以直接修改Uber账号密码,而不需要进行安全问题等二次验证,而且全程手机端不会收到任何短信。当黑客进入被盗的Uber账号后,捆绑的支付宝账号或银行卡号也随之出现。

  对此,Uber中国相关负责人也回应称,在多个互联网平台使用同一个账号名和密码,且密码设置较为简单,较容易出现被他人盗号的现象。Uber中国网络安全团队十分重视保护用户的账号安全,目前已通过多种途径提醒广大用户在设置密码时选择复杂且独特的密码,避免在多个互联网平台使用同样的账号名和密码,以提高自身安全系数。

  不过,也有不少用户表示Uber对盗号问题的回应不够及时。由于Uber没有在中国开通客服热线,因此大部分用户只能通过写邮件的方式向Uber申诉。不过,《国际金融报》记者了解到,目前Uber已经开通了账户安全帮助热线,但仅限于处理账户未经授权被他人使用、账户信息和初始设置不符两类问题。

  代叫黑色产业链

  盗取Uber账号之后,为了变现,不法分子发展出了一条“代叫”的黑色产业链。

  《国际金融报》记者通过淘宝网找了一家提供Uber代叫服务的“商家”。对方表示,代叫服务全国通用,同城不限距离22.5元一单。具体的步骤是先通过淘宝旺旺告诉“商家”上、下车地点,成功下单后对方会告知司机的电话和车牌号,到了约定的时间直接上、下车,整个过程乘客无需支付给司机任何费用。

  记者还发现,这些“代叫者”毫不避讳在微博、微信中“晒单”,并以介绍新用户享受优惠的方式扩大业务范围。更有甚者,有些人直接打出了招募分区域“代理”的广告。

  业内人士认为,代叫者选择Uber,主要是因为它的自动扣款功能。在其他的平台消费后付款时,都需要确认订单或行程后,由消费者主动操作付款,但Uber在行程结束后会自动通过已绑定的支付方式扣去车费,无需验证和输密环节。

  “代叫是利用了Uber软件行程结束自动扣款的特点,通过盗取的账号替人叫车。”西南科技大学法学院副教授廖天虎在接受媒体采访时表示,如果代叫者实施盗窃他人账户信息或信用卡并使用的,便构成盗窃罪;如果代叫者没有实施窃取行为,而是明知是非法获取的账户数据信息,而予以收购或代为销售的,则构成掩饰、隐瞒犯罪所得罪。

  对于网络上出现的大量的“Uber代叫”服务,Uber中国回应媒体称:“这不是一种服务,而是不法分子的一种销赃行为,利用极少数用户贪小便宜的心理,侵害其他用户的财产,也严重损害了被‘盗号’用户对优步平台的信任。”Uber方面称将对此严厉打击,并通过不断的技术升级提升安全防范措施。

(责编:陈键、毕磊)

分享让更多人看到

返回顶部