深圳市民爆优步免密码支付存漏洞 2小时被盗刷4次
人在广州,个人优步账户却在两个小时内,被连续盗刷4次,而且被盗刷的地点横跨“上海广州深圳”3个城市,这让深圳市民付玉良觉得不可理解,更糟心的是这事儿偏偏让他碰上了。事后他尝试修改密码,不过均以失败告终,之后又联系优步客服进行申诉,可申诉后不久账户又被盗刷65元。
两个小时内优步账户被盗刷4次
付玉良是一名85后,在韩后化妆品公司上班,之前出行多选择优步打车软件,但最近半年时间没有登录优步账户。
7月1日凌晨时分,付玉良忽然看到支付宝账户发来扣款提醒,显示自己已经使用优步账户打车两次,扣款时间显示6月30日晚上11时16分扣款28.01元,7月1日凌晨0点43分又扣款75.32元,等到他收到第三笔扣款8元的通知时,才发觉这事有点儿不对劲,赶紧更改密码希望不再继续扣款,可均以失败告终,他说“当时系统说我提供的信息不对,无法更改”。
之后,付玉良又赶紧发了邮件给优步进行申诉。付玉良表示“因为优步没有客服电话,只能发邮件通知”,可是他发出申诉没过多久,又收到最后一笔扣款65.02元,时间是7月1日凌晨1时59分。
就这样,在短短两个小时内,付玉良的优步账户就被盗刷了4笔,前3次扣款是银行账户划扣,第四次是支付宝余额,付玉良认为“哪有人这么打车的,优步系统居然没有检测到异常”,他认为这是优步系统的安全漏洞。
盗刷地点横跨上海广州深圳
对于付玉良优步账户被盗刷的情况,优步深圳负责人回应称,这可能由于很多用户在不同网站使用的是相同的账号密码,非账户所有人有可能通过获取用户在A网站的账户,从而尝试登录B网站,也就是黑客们所说的“撞库”。他说近日优步检测到一些用户的账户存在潜在风险,已经启动特别保护程序。
付玉良对此答复表示不认可。一个优步账户应该与手机号码和设备绑定,如果一个账户可以登录多个设备的话,还可以正常运行是不合理的。尤其是盗刷地点横跨深圳广州和上海三地,这种明显的异常情况,系统居然没有监测到并及时冻结。
其实,付玉良的遭遇并非个案,深晚记者调查发现,优步账户盗刷问题还衍生出一条灰色链条,在一些社交软件中有不少以优步代叫为名组成的交流群组,显示25元一单,同城不限距离,有些代叫群人数目前为止有数千人。
有知情人士告诉记者,有些黑客通过科技手段获得其他人的优步账户信息后,马上修改账户个人信息内容,然后再通过出售“代叫”服务从买家手中获得报酬,而实际支付的车费则是从原优步账号绑定的支付方式中收取。这种情况下,原账户主人无法接收到打车的手机验证码,也无法修改账户密码。
一位网络安全方面的专业人士许先生对此表示,优步客户端接口设计不当容易导致“撞库”攻击,而且他觉得优步免密码支付方式是为了保护司机,而不是为了保护客户设定的,如果这种打车方式不需要输入密码,却只靠邮箱验证的话,安全策略方面是有些欠缺。
-
1、本网转载其他媒体之稿件,不代表本网赞同其观点和对其真实性负责。
2、如因作品版权及侵权和其它问题可联系本网,本网确认后将在24小时内移除相关争议内容。
- 深圳一楼盘在楼顶违建大型游泳池 对业主谎称赠送2019-11-23 14:29:13
- 深圳:新增五条铁路 2035年与湾区核心市半小时直达2019-11-20 09:02:52
- 预见活力未来 科勒深圳少儿迷你马拉松燃情开跑2019-11-18 11:17:57
- 深圳男子醉酒骑电动车出车祸 怕受罚翻墙逃走2019-11-14 21:59:16
- 领跑预见活力未来,科勒深圳少儿迷你马拉松即将开跑!2019-11-13 17:17:51
- 深圳海关查获走私冻鸡爪50余吨 原产地为禽流感疫区2019-11-13 11:15:24