Uber用戶中槍！可能成為黑客的“提款機(jī)”

告訴你一個(gè)秘密，你的Uber 登陸時(shí)是不需要手機(jī)驗(yàn)證碼的。

再告訴你一個(gè)秘密，你的Uber 八成綁定了支付寶/銀聯(lián)卡，在進(jìn)行小額付款時(shí)是不需要提供密碼的。

還告訴你一個(gè)秘密，Uber 是可以在多個(gè)設(shè)備同時(shí)登陸的。

納尼？你覺(jué)得這些都不是秘密？但是，把以上三條結(jié)合起來(lái)，可以得出一個(gè)終極秘密：

如果你的Uber 賬號(hào)被盜，黑客可以從容不迫地刷走你賬戶里的每一分錢。

而這種盜竊方式正在我們身邊發(fā)生。最近兩天，連續(xù)有用戶在微信朋友圈和百度貼吧反映類似遭遇：

莫名收到支付寶的扣款信息，顯示自己剛剛通過(guò)Uber 進(jìn)行了一次支付。

自己的Uber 突然被登出，而且重新登錄顯示密碼錯(cuò)誤。

根據(jù)中槍用戶的描述，大概可以還原出黑客的手法：通過(guò)非法手段竊取了用戶的UBER 賬號(hào)，然后在自己的設(shè)備上登陸。通過(guò)和同伙之間偽造用車的交易，從而把用戶支付寶中的金額轉(zhuǎn)移。由于大多數(shù)用戶的支付寶和銀聯(lián)卡都默認(rèn)開(kāi)啟小額支付免密碼 的功能，所以在付款的時(shí)候不會(huì)遇到任何阻礙。

【用戶吐槽自己Uber 賬號(hào)的遭遇】

雷鋒網(wǎng)記者根據(jù)這一邏輯進(jìn)行了測(cè)試，發(fā)現(xiàn)Uber 可以在多個(gè)設(shè)備同時(shí)登陸而不掉線。而登陸新設(shè)備的時(shí)候，是不需要手機(jī)驗(yàn)證碼的。也就是說(shuō)，一旦黑客掌握了用戶的密碼，就可以暢通無(wú)阻地竊取資金了。這不得不說(shuō)是Uber 安全管理上的重大疏漏。

那么，Uber 的賬戶被盜取的可能性究竟有多大呢？暫且不說(shuō)Uber 內(nèi)部對(duì)于密碼數(shù)據(jù)的保護(hù)工作如何，單單從黑客和黑產(chǎn)的角度來(lái)看，就可以通過(guò)多種方法得到用戶的密碼信息，例如：“撞庫(kù)”。所謂撞庫(kù)就是黑客利用其他平臺(tái)泄 露的用戶密碼信息，來(lái)對(duì)目標(biāo)平臺(tái)進(jìn)行測(cè)試。大多數(shù)用戶的習(xí)慣是在多個(gè)平臺(tái)使用相同的密碼，這就造成了黑客可以有很大的幾率撞庫(kù)成功。舉例來(lái)說(shuō)，黑客根據(jù)自 己手中掌握的網(wǎng)易郵箱用戶信息，可能會(huì)順利登陸一批Uber 用戶的App。

【當(dāng)只綁定了一種支付方式的時(shí)候，右上角的編輯按鍵就會(huì)消失，用戶無(wú)法解綁】

意識(shí)到自己的 Uber 賬戶如此不安全，雷鋒網(wǎng)記者嘗試更改登陸密碼。然而記者發(fā)現(xiàn)，在手機(jī)端App 上，是沒(méi)有密碼修改這一選項(xiàng)的，必須登錄網(wǎng)頁(yè)才可以進(jìn)行修改密碼操作。而同樣讓人不安的是，在電腦端修改密碼時(shí)，僅僅需要提供舊密碼就可以了。這種簡(jiǎn)單的 安全模式也恰恰解釋了為什么有用戶的密碼突然被別人修改。

面對(duì)如此脆弱的安全形勢(shì)，記者決定解綁自己的支付寶，然而讓人吐血的事情又發(fā)生了： UBER 需要用戶至少綁定一種支付方式，所以沒(méi)有辦法解除支付寶和Uber 的綁定。

目前還不能確定黑客究竟是用撞庫(kù)還是木馬的方式竊取用戶密碼。但如果你不想成為黑客的“提款機(jī)”，還是盡快改 一下密碼吧。順便說(shuō)一句，以Uber目前的安全機(jī)制，如果黑客通過(guò)木馬盜取你的密碼，那么你無(wú)論修改多少次密碼，都會(huì)被黑客重新獲取。在無(wú)法解綁的情況 下，最保險(xiǎn)的方式還是申請(qǐng)暫停自己的支付寶。。。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。