打車軟件漏洞惹人心憂——誰動了你的Uber賬戶?

近日，一張寫明“經計算，12.5Km以內用優步比較劃算，大於12.5Km用滴滴較劃算”的圖片在微信朋友圈瘋傳。隨著Uber、滴滴等叫車軟件的普及，越來越多的用戶習慣了出行前通過叫車軟件打車。“輕點按鍵，即可乘車”的方式讓用戶對出行充滿期待，除了平台補貼的價格刺激，更有乘車體驗和社交場景的搭建。用戶可以期待行程中出現一輛超出心理預期的高級車、結識一位志趣相投的車主的可能性。不過，就像硬幣的兩面，便捷出行的背后也隱藏著潛在風險。多家媒體日前接連曝光Uber叫車軟件存在漏洞，導致用戶賬號被盜，甚至在異地完成叫車服務，給用戶帶來金錢損失，並由此衍生出一條“代叫”黑色產業鏈。

免密碼自動扣款成隱患

“我用Uber出行很方便，尤其是自家車被限號的時候。不過Uber的免密碼支付方式，這在國內應該還算是少有的。我直接綁定的信用卡，有一回居然出現過8美元的賬單。但我從來沒離開北京。”家住海澱牡丹園附近的胡女士有時也會擔心，Uber支付賬號直接綁定和免密碼支付的方式，不得不讓人對安全性也多了一份擔憂。萬一手機掉了呢？

據了解，注冊Uber賬戶有兩種方式：授權支付寶賬戶直接登錄，或用郵箱、手機號碼進行注冊。隨后，用戶需要在百度錢包、銀聯、支付寶、國際信用卡中，至少添加一種方式進行綁定。添加支付方式后，用戶在使用Uber時，行程結束后，無需輸入支付密碼，系統會自動扣除費用。

Uber的初衷是“自在出行，輕鬆付費”，但現在這一“免密支付”功能卻成為大量用戶吐槽的“重災區”。一旦賬號被盜，用戶能想到的舉措就是解除綁定。無奈的是，Uber用戶不能自己解綁，隻能通過工作郵箱操作。

家住上海的劉女士，7月8日發布微博稱：“今早在Uber上打車，叫的人民優步，家到公司8公裡的路收了我107元，優惠12元，支付寶扣掉95元。比正常費用提高了4.2倍。用戶的錢就這麼容易被騙掉的嗎？投訴無門，給客服發郵件也一直沒人回。”

北京市盈科律師事務所刑事部主任易勝華經常使用優步，他在接受科技日報記者採訪時表示：“優步最大的問題，就是沒有客服電話。免密支付的確方便，但也存在風險，利弊共存。作為優勢地位的一方，應當採取更加嚴密有效的措施，保護用戶的隱私和財產權益。乘客也應小心謹慎，盡量不綁定高額賬戶。”

對此，優步中國方面稱，優步一直通過多種途徑提醒廣大用戶在設置密碼時選擇復雜且獨特的密碼，避免在多個互聯網平台使用同樣的賬戶名和密碼，以提高自身安全系數。近期，滴滴、Uber、神州等專車公司也上線了這類隱藏用戶手機號碼的通信技術服務。

暗藏“代叫”黑色產業鏈

據外媒CNBC報道，安全公司Trend Micro稱，對於不法分子來說，Uber賬號已經變得比信用卡信息有價值得多。根據Trend Micro收編的數據，被盜Uber賬號信息在地下市場中的售價平均為每賬號3.78美元，個人驗証信息（包含任何可用於實施身份詐騙的信息，如社會保險號和出生日期）的售價則通常在1美元到3.30美元之間。

Uber方面回應媒體稱，“盜號問題”是很多互聯網平台遇到的共同挑戰，優步的網絡安全團隊已經著手調查此事，並將採取嚴格的安全防范措施，持續通過技術升級來鞏固平台的安全。

代叫者之所以選擇Uber，主要是因為它的自動扣款功能。代叫者通過盜取的賬號替人叫車，盜號、賣號、更改用戶數據等一系列的環節，已發展形成一條嚴密而完整的黑色產業鏈。

此外，Uber賬號被盜后很難解綁支付方式，也讓Uber賬號被盜后信用卡被盜刷難以及時挽救。記者發現，Uber賬號被盜並非個案。為一探究竟，科技日報記者在QQ上搜索“Uber代叫”，竟出現了70多個代叫的QQ群。這些“代叫者”，在QQ空間大肆宣傳著“全國專車代叫，25元一單，不限公裡數，絕不掉線”。

不僅如此，在淘寶網上也可找到提供Uber代叫服務的“商家”。對方表示，代叫服務全國通用，同城不限距離22.5元一單。具體的步驟是先通過淘寶旺旺告訴“商家”上、下車地點，成功下單后對方會告知司機的電話和車牌號，到了約定的時間直接上、下車，整個過程乘客無需支付給司機任何費用。

西南科技大學法學院副教授王洪友在接受科技日報記者採訪時談道：“如果代叫者使用他人賬號支付，構成盜竊，加起來的數額達到當地規定的盜竊罪數額時，構成盜竊罪。”律師易勝華也表示：“代叫，從刑事上說，該行為屬於盜竊﹔從民事上說，優步公司應當對自己的管理漏洞、對受損失的用戶承擔賠償責任。”

對此，Uber中國回應媒體稱：“這是不法分子的一種銷贓行為，利用極少數用戶貪小便宜的心理，侵害其他用戶的財產，也嚴重損害了被‘盜號’用戶對優步平台的信任。”Uber方面稱將對此嚴厲打擊，並通過不斷的技術升級提升安全防范措施。

移動支付安全面臨挑戰

趨勢科技早前發布的《2015年暨未來網絡安全預測報告》顯示，2017年全球移動支付市場規模將高達900億美元，移動支付服務這種新的支付形態很可能成為黑客攻擊的新目標。移動支付在為我們的生活帶來便捷的同時，也對網絡安全防護提出新的挑戰。

當移動支付被越來越多人所接受，為了平時購物方便，人們不僅將越來越多的移動應用與銀行卡綁定，向銀行卡內存入的金額也是越來越大。來自易到用車方面的數據顯示，過去兩個月，該平台的“高額充返”活動獲得的充值總額已突破17億元。在此背景下，移動支付背后的安全問題更需引起人們的重視。

Uber中國相關負責人表示，在多個互聯網平台使用同一個賬戶名和密碼，且密碼設置較為簡單，較容易出現被他人盜號的現象。Uber中國網絡安全團隊十分重視保護用戶的賬戶安全，目前已通過多種途徑提醒廣大用戶在設置密碼時選擇復雜且獨特的密碼，避免在多個互聯網平台使用同樣的賬戶名和密碼，以提高自身安全系數。同時，Uber中國設有專項客服人員為用戶提供幫助，確保用戶非本人的消費可有效返還。

Packeteer大中國區副總李曉東表示，智能手機的快速普及，使今天的手機與昨天的手機不可同日而語。但是在帶給人方便的同時，它也將PC端帶給大家的問題復制過來了。手機上的各種漏洞層出不窮，尤其是基於開放的安卓系統的手機，在方便的同時，也方便了別人竊取你的信息。任何一個應用，都可以採集你的諸多私密信息。蘋果手機由於採用封閉系統，要略好一點，但也不是沒有漏洞，隻要有心可為，還是有空子可鑽。在這樣的環境裡完成支付，真的有點“裸奔”的感覺。（實習生郭盈）