优步账户3天遭盗刷10次无客服电话 客户端存设计漏洞

10笔扣款，共计724.59元，仅在去年12月份使用过三四次优步(Uber)用车软件的王先生，在今年8月12日至8月14日这3天内，连续被盗刷了10笔款项，就在王先生迅速挂失与优步绑定的信用卡与支付宝后，仍然收到优步账户被盗刷7次均失败的信息…… 早在今年年初，优步打车软件就发生过被盗刷的事件，年过半载，被盗刷事件依然时有发生，让人禁不住追问，优步难道没考虑堵住漏洞，保护用户账户信息吗? 【蹊跷】半年没用优步，账号3天内连续被盗刷 15日，市民王先生向本报记者反映，12日到14日这3天，他的一张与优步绑定的信用卡连续被盗刷了9笔，每笔金额均在200元以下，“最大的一笔119.84元，最小的一笔28.38元。”他立即联系信用卡中心得知，这些来自上海雾博信息技术有限公司的扣款均来自优步用车软件，“我去年11月注册优步账户，去年12月曾用过三四次，之后就再没用过。” 随即，王先生登录自己的优步账号发现，账号被盗，密码也被改了，优步的行程邮件也收不到。登录不了优步账户，信用卡与优步就没法解绑，他只好将信用卡挂失。14日，王先生挂失信用卡之后，与优步绑定的支付宝账户却又被盗刷了1笔，金额33.43元，“因为开通了小额免密支付，支付宝200元以下的都不需要密码，款被直接划走了。”他表示，这笔钱也来自上海雾博。在支付宝客服的提示下，王先生立即解绑了支付宝所有的银行卡，并关闭了小额免密支付功能。 “就在刚刚，支付宝还提醒我有交易失败的记录呢，都是来自上海雾博的。”王先生说，将信用卡挂失、支付宝解绑之后，对方仍在疯狂地盗刷自己的优步账户，“从昨天晚上7点到现在，一共有7笔交易失败的记录，虽然钱没被刷走，但是看到记录就闹心。” 【无奈】发邮件投诉无果，所谓热线电话不服务 发现账号被盗后，王先生就想方设法联系优步客服。“优步在中国没有客服电话，只能邮件联系，发了好几封也没有反馈。”他感到很窝火，“很惊讶很可气的是偌大一个公司，在中国就没有客服电话。” 由于滴滴与优步已经合并，15日中午，记者联系滴滴方面一位江姓负责人，由她将此事反馈给了优步客服。当日下午3点33分，优步方面对此事做出了反馈：已致电王先生核实被盗行程后退费，并将用户账户资料改回原始资料，重置密码，禁用有问题的支付方式和设备。随即，王先生联系记者表示，被盗刷款项共计729.59元均已退还到自己的账户。 王先生认为，如果没有记者介入的话，优步方面有可能仍然看不到自己的投诉，不会退款，“没有客服电话，就找不到他们，只能被动地等待。” 随后，记者根据优步“司机专线”的语音应答发现，乘客如需反映情况，只能通过APP内帮助板块申诉或发邮件给优步平台的客服邮箱。此外，记者还找到了名为“Uber优步客服助手”的官方微博。而在此微博评论中，网友针对优步邮箱客服的吐槽不在少数。网友“生物学实验体”质疑：“私信不回，邮件不回，投诉无门，写那么长的邮件自动回复，事情依然无法处理。”网友“周浩—true”询问：“我的账号被盗，连续被盗刷好几百块钱，两个找回密码方式不能用，邮件你们不回复。就这样的服务态度吗?” 在Uber官网的“帮助”页面，记者在右下角看到了这样两行字：“在Twitter上关注我们在应用内获得最新动态，或者若您有任何问题，请发送Twitter给我们。” 另据媒体报道，优步相关人士称已开通了4008196582这个号码，主要解决账户安全问题。但记者拨打后，听筒里传来自动语音：“对不起，该号码暂不提供服务”。 【探因】优步未回应，黑客称“客户端口设计不当” 其实，王先生优步账户被盗，信用卡被盗刷的遭遇并非个案。优步虽然并未对王先生被盗刷做出解释，但早在今年3月，一白帽子黑客“土夫子”在乌云网上公布了优步的漏洞，认为其“客户端接口设计不当可导致撞库攻击”，也就是说，黑客可以用遍历手机号(注：用数字穷举把所有的可能性都尝试一遍)的方式来猜测弱密码存在的可能性，也可以根据互联网已经泄露的用户信息进行“撞库”。 此外，同一个优步账号并非只能在自己的手机上使用，而是可以在多台设备上同时使用，并且没有异地登录的提示，再加上优步采用了“小额免密支付”的扣款方式，使得用户账号被盗、信用卡被盗刷的可能性大大增加，且用户不易及时发现被盗。甚至有不法分子钻空子生成新的黑色产业链“代客打车”，即乘客使用此方式打车时，只需支付很低的费用就能打到车，在上车时也只需报出自己的地址和联系手机号即可，而多出的费用是由王先生这样被盗刷的优步用户支付的。 绝非个例 有用户两小时被盗刷4笔，地跨沪广深 据媒体报道，6月9日早上，南京一家互联网公司的职员沈先生刚打开手机，就收到了支付宝的付款通知，其优步账户付款350元，付款时间是昨天晚上。对此，沈先生感到非常诧异，因为当时他正在睡觉，压根就没有叫车; 6月19日下午开始，杭州李先生的优步就“忙个不停”，短短的十个小时内，他的优步账户被叫了7次，其中最贵的一次车费将近200元; 7月，人在广州的付先生，个人优步账户却在两个小时内被连续盗刷4次，而且被盗刷的地点横跨“上海广州深圳”3个城市…… 答疑解惑 账户被改密码盗刷比你想得还要简单 在乘客被盗刷的过程中，有一个共同的问题是其账户密码会被修改，要修改优步的密码是不是很容易呢?登录优步账户，点击“编辑账户”，填写验证密码，该密码即账户登录密码。接下去，就可以修改邮箱、手机号码了。 优步修改密码方式有两种，一种是通过邮件，一种是通过手机号码。以通过邮件修改密码为例，只要点击通过电子邮件修改密码，优步就会向账户确认过的邮箱发送邮件，打开邮件中的链接，就可以重置密码，原账户的密码可以绕过原来的主人修改成功。原来的邮箱和手机号会收到账户信息更改的提醒，但如果用户没有留意并加以阻止，很可能就被盗刷。 相关规定 网约车经营者拟需 24小时内处理投诉 近日，交通部公布《网络预约出租汽车运营服务规范(征求意见稿)》，其中就“服务评价与投诉处理”板块的规定是，经营者应规定服务监督电话及其他投诉方式与处理流程。约车人或乘客有不满或疑问的，可拨打经营者投诉电话等进行处理。该意见稿还提出，接到乘客投诉后，经营者应在24小时内处理，5日内处理完毕，并将处理结果告知乘客。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/