Uber“盜號問題”引關注 “代叫”黑色產業鏈蔓延

來源:國際金融報 2016-07-11 15:30 http://www.xbkwei.com/ 海峽都市報電子版

　　柏可林攝

　　打車軟件“代叫”黑色產業鏈蔓延

　　隨著Uber、滴滴等叫車軟件的普及，越來越多的用戶已經習慣出行前通過叫車軟件打車。但是，近日卻有媒體曝光Uber叫車軟件存在漏洞，導致用戶賬號被盜，甚至在異地完成了叫車服務，給用戶帶來金錢方面的損失，并由此衍生出一條“代叫”黑色產業鏈的新聞。

　　記者發現，大部分用戶對Uber的質疑集中在三個方面。其一，Uber客戶端存在漏洞，導致黑客可以在用戶毫不知情的情況下盜取賬號并修改密碼。其二，Uber在行程結束后會自動通過已綁定的支付方式扣除車費，而無需驗證和輸密環節。這一免密支付功能給“代叫者”提供了可趁之機。其三，Uber在注冊賬號時要求至少綁定一種支付方式，用戶在發現賬號被盜時無法解綁所有支付方式，可能造成額外的金錢損失。

　　針對上述三個問題，記者聯系Uber中國進行采訪，但至今尚未收到回復。不過，此前Uber中國方面曾回應媒體稱，“盜號問題”是很多互聯網平臺遇到的共同挑戰，Uber的網絡安全團隊已經著手調查此事，并將采取嚴格的安全防范措施，持續通過技術升級來鞏固平臺的安全。

　　目前，記者在微博、淘寶、微信等平臺搜索關鍵字“Uber”、“代叫”，依然可以找到相關鏈接。

　　免密支付惹的禍？

　　記者在微博上搜索“Uber”、“盜號”等關鍵字后，發現不少微博用戶都遭遇過Uber盜號事件。根據他們的描述，Uber賬號被盜是一個后知后覺的過程。大部分人表示自己明明沒有叫車，卻收到了“車到目的地”的消息，此時才發覺自己的Uber賬號被盜了。

　　更有甚者，是在收到支付寶或者銀行信用卡的扣款信息后，才發現Uber賬號被盜的事實。但是，當大部分用戶想要登錄Uber賬號修改密碼時，卻發現包括手機號碼、郵箱在內的登錄信息已經被修改，導致無法重置密碼。

　　微博用戶“杭之馮玥均建國后成精”因此質疑，“Uber這樣的大公司，是怎么允許不經過驗證，就同時修改預留信箱和預留手機號的？如果這兩樣都已經被盜號者修改的話，請問原賬號擁有者如何找回密碼？”

　　由于Uber付款采用免密支付的方式，因此大部分用戶在發現賬號被盜之后，第一反應是解除綁定支付寶、銀行信用卡等支付方式。但記者查閱Uber用戶幫助信息，發現目前只支持支付寶和百度錢包的人工解綁服務。此外，由于Uber要求至少要綁定一種支付方式，導致許多用戶只能通過凍結支付寶或信用卡的方式避免損失。

　　據了解，在注冊Uber賬號時，有以下兩種方式：授權支付寶賬號直接登錄，或用郵箱、手機號碼進行注冊，隨后，在百度錢包、銀聯、支付寶、國際信用卡中，至少添加一種付款方式進行綁定；添加支付方式后，用戶在行程結束后，無需輸入支付密碼，便可自動支付。

　　記者發現Uber用戶在關聯支付寶賬號時，默認同意《Uber代扣服務協議》。這份協議中規定，“收到商戶的請款請求后，支付寶將按直接借記模式為您提供本服務，您授權支付寶可以根據商戶的請款請求直接扣款完成您的支付而無需您在每次付款時再行確認發出支付指令。”

　　而Uber原本以為用戶帶來流暢體驗為初衷設計的“免密支付”功能，現在卻被大量用戶詬病：一旦賬號被盜，綁定的支付方式就有被不法分子消費的巨大風險。