Uber“盗号问题”引关注 “代叫”黑色产业链蔓延


来源:国际金融报 2016-07-11 15:30 http://www.1988news.com/海峡都市报电子版

  柏可林 摄

  打车软件“代叫”黑色产业链蔓延

  随着Uber、滴滴等叫车软件的普及,越来越多的用户已经习惯出行前通过叫车软件打车。但是,近日却有媒体曝光Uber叫车软件存在漏洞,导致用户账号被盗,甚至在异地完成了叫车服务,给用户带来金钱方面的损失,并由此衍生出一条“代叫”黑色产业链的新闻。

  记者发现,大部分用户对Uber的质疑集中在三个方面。其一,Uber客户端存在漏洞,导致黑客可以在用户毫不知情的情况下盗取账号并修改密码。其二,Uber在行程结束后会自动通过已绑定的支付方式扣除车费,而无需验证和输密环节。这一免密支付功能给“代叫者”提供了可趁之机。其三,Uber在注册账号时要求至少绑定一种支付方式,用户在发现账号被盗时无法解绑所有支付方式,可能造成额外的金钱损失。

  针对上述三个问题,记者联系Uber中国进行采访,但至今尚未收到回复。不过,此前Uber中国方面曾回应媒体称,“盗号问题”是很多互联网平台遇到的共同挑战,Uber的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。

  目前,记者在微博、淘宝、微信等平台搜索关键字“Uber”、“代叫”,依然可以找到相关链接。

  免密支付惹的祸?

  记者在微博上搜索“Uber”、“盗号”等关键字后,发现不少微博用户都遭遇过Uber盗号事件。根据他们的描述,Uber账号被盗是一个后知后觉的过程。大部分人表示自己明明没有叫车,却收到了“车到目的地”的消息,此时才发觉自己的Uber账号被盗了。

  更有甚者,是在收到支付宝或者银行信用卡的扣款信息后,才发现Uber账号被盗的事实。但是,当大部分用户想要登录Uber账号修改密码时,却发现包括手机号码、邮箱在内的登录信息已经被修改,导致无法重置密码。

  微博用户“杭之冯玥均建国后成精”因此质疑,“Uber这样的大公司,是怎么允许不经过验证,就同时修改预留信箱和预留手机号的?如果这两样都已经被盗号者修改的话,请问原账号拥有者如何找回密码?”

  由于Uber付款采用免密支付的方式,因此大部分用户在发现账号被盗之后,第一反应是解除绑定支付宝、银行信用卡等支付方式。但记者查阅Uber用户帮助信息,发现目前只支持支付宝和百度钱包的人工解绑服务。此外,由于Uber要求至少要绑定一种支付方式,导致许多用户只能通过冻结支付宝或信用卡的方式避免损失。

  据了解,在注册Uber账号时,有以下两种方式:授权支付宝账号直接登录,或用邮箱、手机号码进行注册,随后,在百度钱包、银联、支付宝、国际信用卡中,至少添加一种付款方式进行绑定;添加支付方式后,用户在行程结束后,无需输入支付密码,便可自动支付。

  记者发现Uber用户在关联支付宝账号时,默认同意《Uber代扣服务协议》。这份协议中规定,“收到商户的请款请求后,支付宝将按直接借记模式为您提供本服务,您授权支付宝可以根据商户的请款请求直接扣款完成您的支付而无需您在每次付款时再行确认发出支付指令。”

  而Uber原本以为用户带来流畅体验为初衷设计的“免密支付”功能,现在却被大量用户诟病:一旦账号被盗,绑定的支付方式就有被不法分子消费的巨大风险。