Uber 用户中槍!可能成為黑客的“提款機”

雷鋒網 於 01/03/2016 發表 收藏文章
告訴你一個祕密,你的 Uber 登陸時是不需要手機驗證碼的。



再告訴你一個祕密,你的 Uber 八成綁定了支付寶/銀聯卡,在進行小額付款時是不需要提供密碼的。

還告訴你一個祕密,Uber 是可以在多個設備同時登陸的。

納尼?你覺得這些都不是祕密?但是,把以上三條結合起來,可以得出一個終極祕密:

引用如果你的 Uber 賬號被盜,黑客可以從容不迫地刷走你賬户裏的每一分錢。

而這種盜竊方式正在我們身邊發生。最近兩天,連續有用户在微信朋友圈和百度貼吧反映類似遭遇:

引用
  • 莫名收到支付寶的扣款信息,顯示自己剛剛通過 Uber 進行了一次支付。

  • 自己的 Uber 突然被登出,而且重新登錄顯示密碼錯誤。

根據中槍用户的描述,大概可以還原出黑客的手法:通過非法手段竊取了用户的 UBER 賬號,然後在自己的設備上登陸。通過和同夥之間偽造用車的交易,從而把用户支付寶中的金額轉移。由於大多數用户的支付寶和銀聯卡都默認開啟小額支付免密碼的功能,所以在付款的時候不會遇到任何阻礙。


【用户吐槽自己 Uber 賬號的遭遇】

雷鋒網記者根據這一邏輯進行了測試,發現 Uber 可以在多個設備同時登陸而不掉線。而登陸新設備的時候,是不需要手機驗證碼的。也就是説,一旦黑客掌握了用户的密碼,就可以暢通無阻地竊取資金了。這不得不説是 Uber 安全管理上的重大疏漏。

那麼,Uber 的賬户被盜取的可能性究竟有多大呢?暫且不説 Uber 內部對於密碼數據的保護工作如何,單單從黑客和黑產的角度來看,就可以通過多種方法得到用户的密碼信息,例如:“撞庫”。所謂撞庫就是黑客利用其他平台泄露的用户密碼信息,來對目標平台進行測試。大多數用户的習慣是在多個平台使用相同的密碼,這就造成了黑客可以有很大的機率撞庫成功。舉例來説,黑客根據自己手中掌握的網易郵箱用户信息,可能會順利登陸一批 Uber 用户的App。


【當只綁定了一種支付方式的時候,右上角的編輯按鍵就會消失,用户無法解綁】

意識到自己的 Uber 賬户如此不安全,雷鋒網記者嘗試更改登陸密碼。然而記者發現,在手機端 App 上,是沒有密碼修改這一選項的,必須登錄網頁才可以進行修改密碼操作。而同樣讓人不安的是,在電腦端修改密碼時,僅僅需要提供舊密碼就可以了。這種簡單的安全模式也恰恰解釋了為什麼有用户的密碼突然被別人修改。

面對如此脆弱的安全形勢,記者決定解綁自己的支付寶,然而讓人吐血的事情又發生了: UBER 需要用户至少綁定一種支付方式,所以沒有辦法解除支付寶和 Uber 的綁定。

目前還不能確定黑客究竟是用撞庫還是木馬的方式竊取用户密碼。但如果你不想成為黑客的“提款機”,還是儘快改一下密碼吧。順便説一句,以Uber目前的安全機制,如果黑客通過木馬盜取你的密碼,那麼你無論修改多少次密碼,都會被黑客重新獲取。在無法解綁的情況下,最保險的方式還是申請暫停自己的支付寶。。。


資料來源:雷鋒網
作者/編輯:史中·方槍槍
標籤: Uber  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→