深圳晚報訊 (記者 伊宵鴻) 人在廣州,個人優步賬戶卻在兩個小時內,被連續盜刷4次,而且被盜刷的地點橫跨“上海廣州深圳”3個城市,這讓深圳市民付玉良覺得不可理解,更糟心的是這事兒偏偏讓他碰上了。事后他嘗試修改密碼,不過均以失敗告終,之后又聯系優步客服進行申訴,可申訴后不久賬戶又被盜刷65元。
兩個小時內優步賬戶被盜刷4次
付玉良是一名85后,在韓后化妝品公司上班,之前出行多選擇優步打車軟件,但最近半年時間沒有登錄優步賬戶。
7月1日凌晨時分,付玉良忽然看到支付寶賬戶發來扣款提醒,顯示自己已經使用優步賬戶打車兩次,扣款時間顯示6月30日晚上11時16分扣款28.01元,7月1日凌晨0點43分又扣款75.32元,等到他收到第三筆扣款8元的通知時,才發覺這事有點兒不對勁,趕緊更改密碼希望不再繼續扣款,可均以失敗告終,他說“當時系統說我提供的信息不對,無法更改”。
之后,付玉良又趕緊發了郵件給優步進行申訴。付玉良表示“因為優步沒有客服電話,只能發郵件通知”,可是他發出申訴沒過多久,又收到最后一筆扣款65.02元,時間是7月1日凌晨1時59分。
就這樣,在短短兩個小時內,付玉良的優步賬戶就被盜刷了4筆,前3次扣款是銀行賬戶劃扣,第四次是支付寶余額,付玉良認為“哪有人這么打車的,優步系統居然沒有檢測到異常”,他認為這是優步系統的安全漏洞。
盜刷地點橫跨上海廣州深圳
對于付玉良優步賬戶被盜刷的情況,優步深圳負責人回應稱,這可能由于很多用戶在不同網站使用的是相同的賬號密碼,非賬戶所有人有可能通過獲取用戶在A網站的賬戶,從而嘗試登錄B網站,也就是黑客們所說的“撞庫”。他說近日優步檢測到一些用戶的賬戶存在潛在風險,已經啟動特別保護程序。
付玉良對此答復表示不認可。一個優步賬戶應該與手機號碼和設備綁定,如果一個賬戶可以登錄多個設備的話,還可以正常運行是不合理的。尤其是盜刷地點橫跨深圳廣州和上海三地,這種明顯的異常情況,系統居然沒有監測到并及時凍結。
其實,付玉良的遭遇并非個案,深晚記者調查發現,優步賬戶盜刷問題還衍生出一條灰色鏈條,在一些社交軟件中有不少以優步代叫為名組成的交流群組,顯示25元一單,同城不限距離,有些代叫群人數目前為止有數千人。
有知情人士告訴記者,有些黑客通過科技手段獲得其他人的優步賬戶信息后,馬上修改賬戶個人信息內容,然后再通過出售“代叫”服務從買家手中獲得報酬,而實際支付的車費則是從原優步賬號綁定的支付方式中收取。這種情況下,原賬戶主人無法接收到打車的手機驗證碼,也無法修改賬戶密碼。
一位網絡安全方面的專業人士許先生對此表示,優步客戶端接口設計不當容易導致“撞庫”攻擊,而且他覺得優步免密碼支付方式是為了保護司機,而不是為了保護客戶設定的,如果這種打車方式不需要輸入密碼,卻只靠郵箱驗證的話,安全策略方面是有些欠缺。