滴滴、Uber等打车软件的诞生,出门打车不用站在马路边上伸着手拦的士,不用看着的士一辆又一辆从面前飞奔而过;只要出门前打开打车软件输入你的所在地和目的地,动动手指头,就有专车来接。节省了打叫车时间,还可以使用优惠券,被堪称“打车神器”。但是“打车神器”也有不靠谱的时候,你以为只有QQ号、微信号等账号会被盗?“打车神器”的账号一样面临着被盗的危险。
一个晚上被刷350元,十小时被叫车七次
6月9日早上,南京某互联网公司的职员沈先生收到支付宝付款消息,发现他的优步账户付款350元,付款时间是昨晚。沈先生疑虑重重,明明昨晚在睡觉,没有叫车;打开优步账户想查看下具体情况,没想到连账户都登录不了。作为互联网公司的产品经理沈先生第一反应就是找客服,但却没找到客服的电话,只能向优步官方写邮件,要求立即停止他的优步账号使用。到了晚上,沈先生没有收到回复,担心再次被叫车,又发了一份邮件给优步官方。为了避免更大的损失,沈先生想了各种办法想停用自动支付功能,最后通过支付宝把优步自动扣款的功能关掉了。在盗刷后的第三天,沈先生接到了优步客服的电话,询问情况后,让沈先生重置了密码,并返还了他被盗刷的350元。
当沈先生把自己的遭遇发布到网上后,发现有类似遭遇的乘客不在少数。杭州的李先生就没有沈先生那么幸运,从6月19日下午3点多到20日凌晨短短的十个小时内,他的优步账户被叫了7次,其中最贵的一次车费将近200元。李先生也通过支付宝关掉优步自动扣款的功能,但是发给优步官方的邮件却迟迟不见回应。
优步漏洞早存在,催生代叫服务
今年3月,一位白帽子黑客在乌云网上发表标题为“Uber 优步客户端接口设计不当可导致撞库攻击”的文章,公布了优步的漏洞。白帽子在文中称其用技术手段在优步客户端分析得知,优步的客户端的https证书未做校验,攻击者可以伪造证书利用优步的登录接口进行尝试。而且优步的账号可以在多台设备登录,登录错误次数也没有限制,可以一直尝试下去。此外,优步接口中有一个可以通过姓名和手机号码查询用户的功能,这个也没有做验证,可以批量猜解用户手机是否注册了优步。
而且还可以在淘宝上买到“优步代叫”的商品,搜索“优步代叫”,发现有不少商家都提供此类服务,他们同时也售卖优步的优惠券。如果想要优步代叫的服务,不能通过旺旺进行,而是要加卖家的微信。根据卖家的解释,其用来叫车的账号都是白号,并没有所谓的盗号,”代叫”服务其实就是“刷单”产业链的一种。
如何通过支付宝解绑优步账户?
在支付宝客户端——我的——设置——安全设置——安全中心——账户授权管理。
关于人工客服,优步相关人士表示,目前开通了4008196582号码,但主要解决账户安全问题。
既然,早有人都把你家的短板都一一揭出来了,为什么优步一点反应都没有?是对自己的平台过于自信,还是对黑客的能力过于质疑?我们不得而知。但就对于被叫车事件,优步的态度不禁让人心寒。优步客户端不仅不能解绑支付宝,而且居然没有客服的联系方式,发生被刷事件,试问多少人知道如何写邮件给优步官方?邮件发出去后不是迟回复,就是迟迟不回复。优步这是要no zuo no die么??
【版权声明】行行出状元平台欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源:;同时,我们倡导尊重与保护知识产权,如发现本站内容存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至service@hhczy.com,我们将及时沟通与处理。
