“撞庫”攻擊導(dǎo)致盜號

　　那么，為什么Uber用戶的賬號會被盜呢？事實上，早在3月23日，就有網(wǎng)友指出Uber客戶端存在漏洞可能導(dǎo)致“撞庫”攻擊。

　　根據(jù)網(wǎng)友的調(diào)查，由于Uber注冊時使用的是手機號，但登錄時卻不需要手機驗證碼驗證，加之由于Uber客戶端允多臺設(shè)備在線且沒有異地登陸提醒，導(dǎo)致黑客可以通過“暴力破解”的方式盜取賬號，并修改郵箱和密碼。

　　而知乎網(wǎng)友“莫名”則指出另一個利用郵箱盜號的漏洞。他表示，黑客利用郵箱撞庫拿到密碼后，可以直接修改Uber賬號密碼，而不需要進(jìn)行安全問題等二次驗證，而且全程手機端不會收到任何短信。當(dāng)黑客進(jìn)入被盜的Uber賬號后，捆綁的支付寶賬號或銀行卡號也隨之出現(xiàn)。

　　對此，Uber中國相關(guān)負(fù)責(zé)人也回應(yīng)稱，在多個互聯(lián)網(wǎng)平臺使用同一個賬號名和密碼，且密碼設(shè)置較為簡單，較容易出現(xiàn)被他人盜號的現(xiàn)象。Uber中國網(wǎng)絡(luò)安全團(tuán)隊十分重視保護(hù)用戶的賬號安全，目前已通過多種途徑提醒廣大用戶在設(shè)置密碼時選擇復(fù)雜且獨特的密碼，避免在多個互聯(lián)網(wǎng)平臺使用同樣的賬號名和密碼，以提高自身安全系數(shù)。

　　不過，也有不少用戶表示Uber對盜號問題的回應(yīng)不夠及時。由于Uber沒有在中國開通客服熱線，因此大部分用戶只能通過寫郵件的方式向Uber申訴。不過，記者了解到，目前Uber已經(jīng)開通了賬戶安全幫助熱線，但僅限于處理賬戶未經(jīng)授權(quán)被他人使用、賬戶信息和初始設(shè)置不符兩類問題。

　　代叫黑色產(chǎn)業(yè)鏈

　　盜取Uber賬號之后，為了變現(xiàn)，不法分子發(fā)展出了一條“代叫”的黑色產(chǎn)業(yè)鏈。

　　記者通過淘寶網(wǎng)找了一家提供Uber代叫服務(wù)的“商家”。對方表示，代叫服務(wù)全國通用，同城不限距離22.5元一單。具體的步驟是先通過淘寶旺旺告訴“商家”上、下車地點，成功下單后對方會告知司機的電話和車牌號，到了約定的時間直接上、下車，整個過程乘客無需支付給司機任何費用。

　　記者還發(fā)現(xiàn)，這些“代叫者”毫不避諱在微博、微信中“曬單”，并以介紹新用戶享受優(yōu)惠的方式擴大業(yè)務(wù)范圍。更有甚者，有些人直接打出了招募分區(qū)域“代理”的廣告。

　　業(yè)內(nèi)人士認(rèn)為，代叫者選擇Uber，主要是因為它的自動扣款功能。在其他的平臺消費后付款時，都需要確認(rèn)訂單或行程后，由消費者主動操作付款，但Uber在行程結(jié)束后會自動通過已綁定的支付方式扣去車費，無需驗證和輸密環(huán)節(jié)。

　　“代叫是利用了Uber軟件行程結(jié)束自動扣款的特點，通過盜取的賬號替人叫車。”西南科技大學(xué)法學(xué)院副教授廖天虎在接受媒體采訪時表示，如果代叫者實施盜竊他人賬戶信息或信用卡并使用的，便構(gòu)成盜竊罪；如果代叫者沒有實施竊取行為，而是明知是非法獲取的賬戶數(shù)據(jù)信息，而予以收購或代為銷售的，則構(gòu)成掩飾、隱瞞犯罪所得罪。

　　對于網(wǎng)絡(luò)上出現(xiàn)的大量的“Uber代叫”服務(wù)，Uber中國回應(yīng)媒體稱：“這不是一種服務(wù)，而是不法分子的一種銷贓行為，利用極少數(shù)用戶貪小便宜的心理，侵害其他用戶的財產(chǎn)，也嚴(yán)重?fù)p害了被‘盜號’用戶對優(yōu)步平臺的信任。”Uber方面稱將對此嚴(yán)厲打擊，并通過不斷的技術(shù)升級提升安全防范措施。（唐逸如）