Uber用户中枪!可能成为黑客的“提款机”
告诉你一个秘密,你的Uber 登陆时是不需要手机验证码的。
再告诉你一个秘密,你的Uber 八成绑定了支付宝/银联卡,在进行小额付款时是不需要提供密码的。
还告诉你一个秘密,Uber 是可以在多个设备同时登陆的。
纳尼?你觉得这些都不是秘密?但是,把以上三条结合起来,可以得出一个终极秘密:
如果你的Uber 账号被盗,黑客可以从容不迫地刷走你账户里的每一分钱。
而这种盗窃方式正在我们身边发生。最近两天,连续有用户在微信朋友圈和百度贴吧反映类似遭遇:
莫名收到支付宝的扣款信息,显示自己刚刚通过Uber 进行了一次支付。
自己的Uber 突然被登出,而且重新登录显示密码错误。
根据中枪用户的描述,大概可以还原出黑客的手法:通过非法手段窃取了用户的UBER 账号,然后在自己的设备上登陆。通过和同伙之间伪造用车的交易,从而把用户支付宝中的金额转移。由于大多数用户的支付宝和银联卡都默认开启小额支付免密码 的功能,所以在付款的时候不会遇到任何阻碍。
【用户吐槽自己Uber 账号的遭遇】
雷锋网记者根据这一逻辑进行了测试,发现Uber 可以在多个设备同时登陆而不掉线。而登陆新设备的时候,是不需要手机验证码的。也就是说,一旦黑客掌握了用户的密码,就可以畅通无阻地窃取资金了。这不得不说是Uber 安全管理上的重大疏漏。
那么,Uber 的账户被盗取的可能性究竟有多大呢?暂且不说Uber 内部对于密码数据的保护工作如何,单单从黑客和黑产的角度来看,就可以通过多种方法得到用户的密码信息,例如:“撞库”。所谓撞库就是黑客利用其他平台泄 露的用户密码信息,来对目标平台进行测试。大多数用户的习惯是在多个平台使用相同的密码,这就造成了黑客可以有很大的几率撞库成功。举例来说,黑客根据自 己手中掌握的网易邮箱用户信息,可能会顺利登陆一批Uber 用户的App。
【当只绑定了一种支付方式的时候,右上角的编辑按键就会消失,用户无法解绑】
意识到自己的 Uber 账户如此不安全,雷锋网记者尝试更改登陆密码。然而记者发现,在手机端App 上,是没有密码修改这一选项的,必须登录网页才可以进行修改密码操作。而同样让人不安的是,在电脑端修改密码时,仅仅需要提供旧密码就可以了。这种简单的 安全模式也恰恰解释了为什么有用户的密码突然被别人修改。
面对如此脆弱的安全形势,记者决定解绑自己的支付宝,然而让人吐血的事情又发生了: UBER 需要用户至少绑定一种支付方式,所以没有办法解除支付宝和Uber 的绑定。
目前还不能确定黑客究竟是用撞库还是木马的方式窃取用户密码。但如果你不想成为黑客的“提款机”,还是尽快改 一下密码吧。顺便说一句,以Uber目前的安全机制,如果黑客通过木马盗取你的密码,那么你无论修改多少次密码,都会被黑客重新获取。在无法解绑的情况 下,最保险的方式还是申请暂停自己的支付宝。。。