Uber“盜號問題”引關注 “代叫”黑色產業鏈蔓延

來源:國際金融報 2016-07-11 15:30 http://www.xbkwei.com/ 海峽都市報電子版

　　“撞庫”攻擊導致盜號

　　那么，為什么Uber用戶的賬號會被盜呢？事實上，早在3月23日，就有網友指出Uber客戶端存在漏洞可能導致“撞庫”攻擊。

　　根據網友的調查，由于Uber注冊時使用的是手機號，但登錄時卻不需要手機驗證碼驗證，加之由于Uber客戶端允多臺設備在線且沒有異地登陸提醒，導致黑客可以通過“暴力破解”的方式盜取賬號，并修改郵箱和密碼。

　　而知乎網友“莫名”則指出另一個利用郵箱盜號的漏洞。他表示，黑客利用郵箱撞庫拿到密碼后，可以直接修改Uber賬號密碼，而不需要進行安全問題等二次驗證，而且全程手機端不會收到任何短信。當黑客進入被盜的Uber賬號后，捆綁的支付寶賬號或銀行卡號也隨之出現。

　　對此，Uber中國相關負責人也回應稱，在多個互聯網平臺使用同一個賬號名和密碼，且密碼設置較為簡單，較容易出現被他人盜號的現象。Uber中國網絡安全團隊十分重視保護用戶的賬號安全，目前已通過多種途徑提醒廣大用戶在設置密碼時選擇復雜且獨特的密碼，避免在多個互聯網平臺使用同樣的賬號名和密碼，以提高自身安全系數。

　　不過，也有不少用戶表示Uber對盜號問題的回應不夠及時。由于Uber沒有在中國開通客服熱線，因此大部分用戶只能通過寫郵件的方式向Uber申訴。不過，記者了解到，目前Uber已經開通了賬戶安全幫助熱線，但僅限于處理賬戶未經授權被他人使用、賬戶信息和初始設置不符兩類問題。

　　代叫黑色產業鏈

　　盜取Uber賬號之后，為了變現，不法分子發展出了一條“代叫”的黑色產業鏈。

　　記者通過淘寶網找了一家提供Uber代叫服務的“商家”。對方表示，代叫服務全國通用，同城不限距離22.5元一單。具體的步驟是先通過淘寶旺旺告訴“商家”上、下車地點，成功下單后對方會告知司機的電話和車牌號，到了約定的時間直接上、下車，整個過程乘客無需支付給司機任何費用。

　　記者還發現，這些“代叫者”毫不避諱在微博、微信中“曬單”，并以介紹新用戶享受優惠的方式擴大業務范圍。更有甚者，有些人直接打出了招募分區域“代理”的廣告。

　　業內人士認為，代叫者選擇Uber，主要是因為它的自動扣款功能。在其他的平臺消費后付款時，都需要確認訂單或行程后，由消費者主動操作付款，但Uber在行程結束后會自動通過已綁定的支付方式扣去車費，無需驗證和輸密環節。

　　“代叫是利用了Uber軟件行程結束自動扣款的特點，通過盜取的賬號替人叫車。”西南科技大學法學院副教授廖天虎在接受媒體采訪時表示，如果代叫者實施盜竊他人賬戶信息或信用卡并使用的，便構成盜竊罪；如果代叫者沒有實施竊取行為，而是明知是非法獲取的賬戶數據信息，而予以收購或代為銷售的，則構成掩飾、隱瞞犯罪所得罪。

　　對于網絡上出現的大量的“Uber代叫”服務，Uber中國回應媒體稱：“這不是一種服務，而是不法分子的一種銷贓行為，利用極少數用戶貪小便宜的心理，侵害其他用戶的財產，也嚴重損害了被‘盜號’用戶對優步平臺的信任。”Uber方面稱將對此嚴厲打擊，并通過不斷的技術升級提升安全防范措施。（唐逸如）