出門(mén)叫專(zhuān)車(chē)服務(wù)已經(jīng)成為一種生活現象，專(zhuān)車(chē)給人們的出行帶來(lái)便捷體驗。但是，這也產(chǎn)生新的問(wèn)題，萬(wàn)一賬戶(hù)和密碼被盜，其所綁定的支付寶、信用卡也等于“見(jiàn)了天日”。近日，一些優(yōu)步用戶(hù)發(fā)現其賬號在自己沒(méi)叫車(chē)的情況下被叫車(chē)，并且被扣款，有的用戶(hù)多次遇到此類(lèi)情況?，F在，擺在互聯(lián)網(wǎng)專(zhuān)車(chē)面前的不僅是合法性問(wèn)題，如何確認支付安全也刻不容緩。

一個(gè)盜刷，優(yōu)步賬戶(hù)不再屬于我

自動(dòng)扣款存漏洞 “代叫”黑色產(chǎn)業(yè)鏈形成

■IT時(shí)報記者 潘少穎

十個(gè)小時(shí)內“被叫車(chē)”七次

6月9日早上，南京一家互聯(lián)網(wǎng)公司的職員沈先生剛打開(kāi)手機，就收到了支付寶的付款通知，其優(yōu)步賬戶(hù)付款350元，付款時(shí)間是昨天晚上。對此，沈先生感到非常詫異，因為當時(shí)他正在睡覺(jué)，壓根就沒(méi)有叫車(chē)。

疑慮重重的沈先生打開(kāi)優(yōu)步賬戶(hù)，想查看下具體情況，沒(méi)想到連賬戶(hù)都登錄不了。作為互聯(lián)網(wǎng)公司的產(chǎn)品經(jīng)理，沈先生第一反應就是要聯(lián)系客服，可是找來(lái)找去沒(méi)有找到優(yōu)步的客服電話(huà)，只能向優(yōu)步官方寫(xiě)郵件，要求立即停止他的優(yōu)步賬號使用。

到了晚上，沈先生沒(méi)有收到回應，因為擔心再被叫車(chē)，沈先生又發(fā)了一封郵件給優(yōu)步官方，與此同時(shí)，為了避免更大的損失，沈先生想了各種辦法想停用自動(dòng)支付功能，最后通過(guò)支付寶把優(yōu)步自動(dòng)扣款的功能關(guān)掉了。

6月10日，即盜刷后的第三天，沈先生接到了優(yōu)步客服的電話(huà)，詢(xún)問(wèn)情況后，讓沈先生重置了密碼，并且返還了他被盜刷的350元。

當沈先生把自己的遭遇在網(wǎng)上反映后，發(fā)現有類(lèi)似遭遇的乘客不在少數。“我算幸運的，很多人根本不知道客服郵件該怎么寫(xiě)，損失都沒(méi)有挽回。”沈先生說(shuō)。

杭州的李先生沒(méi)有沈先生那么幸運，從6月19日下午開(kāi)始，他的優(yōu)步就“忙個(gè)不停”，從19日下午3點(diǎn)多到20日凌晨短短的十個(gè)小時(shí)內，他的優(yōu)步賬戶(hù)被叫了7次，其中最貴的一次車(chē)費將近200元。一開(kāi)始，李先生并沒(méi)有注意支付寶的付款提醒消息，直到20日早上他才發(fā)現。“因為賬戶(hù)和密碼被盜了，我通過(guò)支付寶解綁了優(yōu)步支付，沒(méi)想到我在優(yōu)步上綁定的一張美國信用卡也被盜刷了幾次。”現在，李先生已經(jīng)把這張信用卡凍結，可是20日發(fā)給優(yōu)步的郵件卻遲遲沒(méi)有得到回音。

修改密碼不費勁 催生代叫服務(wù)

用過(guò)優(yōu)步的乘客都知道，用戶(hù)注冊后，通常需要綁定支付寶賬號。通過(guò)優(yōu)步叫車(chē)，在司機將用戶(hù)送達目的地后，優(yōu)步系統會(huì )通過(guò)支付寶賬號直接扣費，支付過(guò)程不需要用戶(hù)輸入支付密碼，因此，從理論上來(lái)說(shuō)，只要優(yōu)步賬號和密碼被盜，對方就可以不費周折地使用其支付寶付車(chē)費，而這竟然也成了一種“商機”。

記者在淘寶網(wǎng)上搜索“優(yōu)步代叫”的商品，發(fā)現有不少商家都提供此類(lèi)服務(wù)，而同時(shí)，他們也售賣(mài)優(yōu)步的優(yōu)惠券。如果想要優(yōu)步代叫的服務(wù)，不能通過(guò)旺旺進(jìn)行，而是要加賣(mài)家的微信。

記者加了一位賣(mài)家的微信，該賣(mài)家告訴記者，所謂優(yōu)步代叫，就是乘客只要把自己所在的地方、目的地和手機號告訴賣(mài)家，賣(mài)家就會(huì )用他所擁有的優(yōu)步賬號替乘客叫車(chē)，行程結束后，不需要乘客付錢(qián)，賣(mài)家會(huì )支付錢(qián)，而乘客要支付給賣(mài)家的是此前和賣(mài)家談好的價(jià)格。記者咨詢(xún)了幾個(gè)賣(mài)家，在上海，同城的車(chē)費在40元左右一趟，不限距離，不限人數。

根據賣(mài)家的解釋?zhuān)溆脕?lái)叫車(chē)的賬號都是白號，并沒(méi)有所謂的盜號。有業(yè)內人士告訴記者，很有可能賣(mài)家得到了一批優(yōu)步賬號和密碼，就用這些賬號叫車(chē)，支付則是用這些賬號綁定的支付寶或信用卡，實(shí)際上，不需要賣(mài)家付出什么，而且還可以坐收乘客支付的所謂“車(chē)費”，這種“代叫”服務(wù)其實(shí)就是“刷單”產(chǎn)業(yè)鏈的一種。

在乘客被盜刷的過(guò)程中，有一個(gè)共同的問(wèn)題是其賬戶(hù)密碼會(huì )被修改，要修改優(yōu)步的密碼是不是很容易呢？記者嘗試了一下，登錄優(yōu)步賬戶(hù)，在其設置中可以看到賬戶(hù)信息，顯示該賬戶(hù)注冊時(shí)的姓名、手機號碼和郵箱，點(diǎn)擊“編輯賬戶(hù)”，填寫(xiě)驗證密碼，該密碼即賬戶(hù)登錄密碼。接下去，就可以修改郵箱、手機號碼了。如果盜號者把郵箱改成自己的郵箱，其郵箱內會(huì )收到確認郵件，只要點(diǎn)擊確認郵件上的鏈接就算改好郵箱了。優(yōu)步修改密碼方式有兩種，一種是通過(guò)郵件，一種是通過(guò)手機號碼。以通過(guò)郵件修改密碼為例，只要點(diǎn)擊通過(guò)電子郵件修改密碼，優(yōu)步就會(huì )向賬戶(hù)確認過(guò)的郵箱發(fā)送郵件，打開(kāi)郵件中的鏈接，就可以重置密碼，原賬戶(hù)的密碼可以繞過(guò)原來(lái)的主人修改成功。在修改賬戶(hù)信息和密碼的過(guò)程中，原來(lái)的郵箱和手機號會(huì )收到賬戶(hù)信息更改的提醒，但如果用戶(hù)沒(méi)有留意并加以阻止，很可能就被盜刷。

優(yōu)步相關(guān)人士告訴記者，代叫是一種違法犯罪行為，優(yōu)步會(huì )配合查處。

白帽子黑客稱(chēng)優(yōu)步客戶(hù)端接口存漏洞

乘客沈先生告訴記者，本來(lái)覺(jué)得自動(dòng)扣款蠻方便的，但現在看來(lái)優(yōu)步在支付安全和認證方面并沒(méi)有做到位。

今年3月，一位白帽子黑客在烏云網(wǎng)上公布了優(yōu)步的漏洞，其標題為“Uber 優(yōu)步客戶(hù)端接口設計不當可導致撞庫攻擊”。一位不愿透露姓名的烏云網(wǎng)工作人員告訴記者，盜號過(guò)程不算很難，一般黑客，都能操作。在他看來(lái)，優(yōu)步采用了免密支付的流程，一個(gè)優(yōu)步賬號就可以打通這些支付方式，因此優(yōu)步賬號的價(jià)值和重要度非常高。但是，黑客可以用遍歷手機號的方式來(lái)猜測弱密碼存在的可能性，也可以根據互聯(lián)網(wǎng)已經(jīng)泄露的用戶(hù)信息進(jìn)行“撞庫”。“所謂遍歷手機號，就是由于手機號碼格式是固定的，理論上可以用數字窮舉把所有的可能性都嘗試一遍，而且光用123456這樣的密碼就能猜出很多賬號，這樣的探測流程可以用程序自動(dòng)化實(shí)現。”這位工作人員解釋說(shuō)。

這位工作人員告訴記者，白帽子用技術(shù)手段在優(yōu)步客戶(hù)端分析得知，優(yōu)步的客戶(hù)端的https證書(shū)未做校驗，攻擊者可以偽造證書(shū)利用優(yōu)步的登錄接口進(jìn)行嘗試。而且優(yōu)步的賬號可以在多臺設備登錄，登錄錯誤次數也沒(méi)有限制，可以一直嘗試下去。此外，優(yōu)步接口中有一個(gè)可以通過(guò)姓名和手機號碼查詢(xún)用戶(hù)的功能，這個(gè)也沒(méi)有做驗證，白帽子可以批量猜解用戶(hù)手機是否注冊了優(yōu)步。對于這些問(wèn)題，烏云平臺表示目前并未收到優(yōu)步的反饋，“如果在支付時(shí)能設一道防線(xiàn)，這種盜刷的現象會(huì )好很多。”

記者在采訪(fǎng)中發(fā)現，很多用戶(hù)被盜刷后想解綁支付寶、想聯(lián)系人工客服，都未能很快找到解決方法。記者也沒(méi)有在優(yōu)步客戶(hù)端找到解綁支付寶的方法，要通過(guò)支付寶客戶(hù)端-我的-設置-安全設置-安全中心-賬戶(hù)授權管理，才能解綁支付寶。

關(guān)于人工客服，優(yōu)步相關(guān)人士告訴記者，目前開(kāi)通了4008196582這個(gè)號碼，但主要解決賬戶(hù)安全問(wèn)題。