Uber用户中枪!可能成为黑客的“提款机”

业界·智界科技8年前

  • 0 0
  • 智能界1.jpg

    告诉你一个秘密,你的Uber 登陆时是不需要手机验证码的。

    再告诉你一个秘密,你的Uber 八成绑定了支付宝/银联卡,在进行小额付款时是不需要提供密码的。

    还告诉你一个秘密,Uber 是可以在多个设备同时登陆的。

    纳尼?你觉得这些都不是秘密?但是,把以上三条结合起来,可以得出一个终极秘密:

    如果你的Uber 账号被盗,黑客可以从容不迫地刷走你账户里的每一分钱。

    而这种盗窃方式正在我们身边发生。最近两天,连续有用户在微信朋友圈和百度贴吧反映类似遭遇:

    莫名收到支付宝的扣款信息,显示自己刚刚通过Uber 进行了一次支付。

    自己的Uber 突然被登出,而且重新登录显示密码错误。

    根据中枪用户的描述,大概可以还原出黑客的手法:通过非法手段窃取了用户的UBER 账号,然后在自己的设备上登陆。通过和同伙之间伪造用车的交易,从而把用户支付宝中的金额转移。由于大多数用户的支付宝和银联卡都默认开启小额支付免密码的功能,所以在付款的时候不会遇到任何阻碍。

    智能界2.jpg

    【用户吐槽自己Uber 账号的遭遇】

    根据这一逻辑进行了测试,发现Uber 可以在多个设备同时登陆而不掉线。而登陆新设备的时候,是不需要手机验证码的。也就是说,一旦黑客掌握了用户的密码,就可以畅通无阻地窃取资金了。这不得不说是Uber 安全管理上的重大疏漏。

    那么,Uber 的账户被盗取的可能性究竟有多大呢?暂且不说Uber 内部对于密码数据的保护工作如何,单单从黑客和黑产的角度来看,就可以通过多种方法得到用户的密码信息,例如:“撞库”。所谓撞库就是黑客利用其他平台泄露的用户密码信息,来对目标平台进行测试。大多数用户的习惯是在多个平台使用相同的密码,这就造成了黑客可以有很大的几率撞库成功。举例来说,黑客根据自己手中掌握的网易邮箱用户信息,可能会顺利登陆一批Uber 用户的App。

    智能界3.jpg

    【当只绑定了一种支付方式的时候,右上角的编辑按键就会消失,用户无法解绑】

    意识到自己的Uber 账户如此不安全,尝试更改登陆密码。然而记者发现,在手机端App 上,是没有密码修改这一选项的,必须登录网页才可以进行修改密码操作。而同样让人不安的是,在电脑端修改密码时,仅仅需要提供旧密码就可以了。这种简单的安全模式也恰恰解释了为什么有用户的密码突然被别人修改。

    面对如此脆弱的安全形势,记者决定解绑自己的支付宝,然而让人吐血的事情又发生了: UBER 需要用户至少绑定一种支付方式,所以没有办法解除支付宝和Uber 的绑定。

    目前还不能确定黑客究竟是用撞库还是木马的方式窃取用户密码。但如果你不想成为黑客的“提款机”,还是尽快改一下密码吧。顺便说一句,以Uber目前的安全机制,如果黑客通过木马盗取你的密码,那么你无论修改多少次密码,都会被黑客重新获取。在无法解绑的情况下,最保险的方式还是申请暂停自己的支付宝。。。


    智能界(www.znjchina.com)中国智能科技聚合推荐平台,秉承“引领未来智能生活”的理念,专注报道智能家居、可穿戴设备、智能医疗、机器人、3D打印、智能汽车等诸多科技前沿领域。聚合品牌宣传、代理招商、产品评测、原创视频、FM电台与试用众测,深入智能硬件行业,全平台多维度为用户及厂商提供服务,致力成为中国最具影响力的智能硬件聚合推荐平台。

       
    分享到