再告诉你一个秘密,你的 Uber 八成绑定了支付宝/银联卡,在进行小额付款时是不需要提供密码的。
还告诉你一个秘密,Uber 是可以在多个设备同时登陆的。
纳尼?你觉得这些都不是秘密?但是,把以上三条结合起来,可以得出一个终极秘密:
如果你的 Uber 账号被盗,黑客可以从容不迫地刷走你账户里的每一分钱。
而这种盗窃方式正在我们身边发生。最近两天,连续有用户在微信朋友圈和百度贴吧反映类似遭遇:
莫名收到支付宝的扣款信息,显示自己刚刚通过 Uber 进行了一次支付。
自己的 Uber 突然被登出,而且重新登录显示密码错误。
根据中枪用户的描述,大概可以还原出黑客的手法:通过非法手段窃取了用户的 UBER 账号,然后在自己的设备上登陆。通过和同伙之间伪造用车的交易,从而把用户支付宝中的金额转移。由于大多数用户的支付宝和银联卡都默认开启小额支付免密码的功能,所以在付款的时候不会遇到任何阻碍。
【用户吐槽自己 Uber 账号的遭遇】
雷锋网(公众号:雷锋网)编辑根据这一逻辑进行了测试,发现 Uber 可以在多个设备同时登陆而不掉线。而登陆新设备的时候,是不需要手机验证码的。也就是说,一旦黑客掌握了用户的密码,就可以畅通无阻地窃取资金了。这不得不说是 Uber 安全管理上的重大疏漏。
那么,Uber 的账户被盗取的可能性究竟有多大呢?暂且不说 Uber 内部对于密码数据的保护工作如何,单单从黑客和黑产的角度来看,就可以通过多种方法得到用户的密码信息,例如:“撞库”。所谓撞库就是黑客利用其他平台泄露的用户密码信息,来对目标平台进行测试。大多数用户的习惯是在多个平台使用相同的密码,这就造成了黑客可以有很大的几率撞库成功。举例来说,黑客根据自己手中掌握的网易邮箱用户信息,可能会顺利登陆一批 Uber 用户的App。
【当只绑定了一种支付方式的时候,右上角的编辑按键就会消失,用户无法解绑】
意识到自己的 Uber 账户如此不安全,雷锋网编辑尝试更改登陆密码。然而记者发现,在手机端 App 上,是没有密码修改这一选项的,必须登录网页才可以进行修改密码操作。而同样让人不安的是,在电脑端修改密码时,仅仅需要提供旧密码就可以了。这种简单的安全模式也恰恰解释了为什么有用户的密码突然被别人修改。
面对如此脆弱的安全形势,记者决定解绑自己的支付宝,然而让人吐血的事情又发生了: UBER 需要用户至少绑定一种支付方式,所以没有办法解除支付宝和 Uber 的绑定。
目前还不能确定黑客究竟是用撞库还是木马的方式窃取用户密码。但如果你不想成为黑客的“提款机”,还是尽快改一下密码吧。顺便说一句,以Uber目前的安全机制,如果黑客通过木马盗取你的密码,那么你无论修改多少次密码,都会被黑客重新获取。在无法解绑的情况下,最保险的方式还是申请暂停自己的支付宝。。。
