华西都市报记者赵雅儒杨尚智
15日凌晨,家住成都的黎先生正在熟睡。可是他没想到,自己的优步账户已经被盗号。早上9点多,自己的账户已经出现在千里之外的武汉。由于优步自身默认开启的免密支付。黎先生赶忙将自己的银行卡冻结。
优步行程单显示成都市民黎先生15日在武汉打车。
15日凌晨,家住成都的黎先生正在熟睡。可是他没想到,自己的优步账户已经被盗号。早上9点多,自己的账户已经出现在千里之外的武汉。由于优步自身默认开启的免密支付。黎先生赶忙将自己的银行卡冻结。
对此优步方面回应称,黎先生的情况可能是由于撞库。并表示一直在提醒用户,设置不重复的密码。不过对于设置二次密码方面的问题,优步方避而不谈。
事件 凌晨2点收到改密邮件
黎先生今年装上了优步。不过在今年5月10日之后,他选择了另一更便宜的叫车软件。然而,已经停用的优步却像一颗定时炸弹,在一个月后突然“炸了”。
15日早上7点左右,黎先生准备起床时顺手拿起了手机,此时的手机上显示了一封未读邮件,接收时间为凌晨2点左右。邮件上写着,黎先生的优步账户,包括手机号码和电子邮件信息已经被更新。邮件还提示,如果本人没有进行修改,还需点击一个链接。
不过由于睡眼惺忪,加之对链接存疑,他并未在意。随后便出门上班。到了上午9点多,黎先生突然收到一条短信,信用卡也已经预扣了6元多。随后优步APP也提示,预约的车辆已经到达。然而黎先生发现,自己已经无法用自己的账户在优步上登录。
“自己”在武汉乘车被扣款
眼见自己的信用卡被扣钱,黎先生赶忙将自己银行卡冻结。随后想起了早晨的邮件上的链接。输入自己的邮箱后,系统提示将给他发送一条修改密码的链接,但是这样的链接黎先生却一直没有收到。
“打车用不了多少钱,但是信用卡随时被别人用影响我的信用就不得了了。”黎先生告诉记者,由于没等到优步客服的邮件回复,他几经辗转,找到了一个名为“Uber成都”的微博号,才与优步方面取得联系。“优步的人私信说,我的账户今天在武汉坐了一段路。”
下午1点左右,经过优步方面的处理,黎先生告诉记者,目前自己已经能够登上自己的账户。“之前我在网上看到有些人账号被盗的事情,没想到真的发生在了自己身上。”随后,黎先生立马将自己的优步账户删除。
疑问
为何盗号频发?优步存漏洞或被撞库攻击
事实上,本月成都已有两位市民优步账户被盗。此外,今年广州、上海等地也都发生了类似事件。频频发生的优步用户账户密码被盗事件,作为厂商的优步是否在保护用户账号密码安全方面也有欠缺呢?
记者在国内著名安全问题反馈及发布平台乌云网上发现,早在今年3月就已经有作者提交了优步客户端接口设计漏洞,并指出这一漏洞将可能导致撞库攻击。
所谓“撞库”,是由于很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址。
“优步用户的账号密码发生泄露非常有可能是与撞库攻击相关。”猎豹移动安全工程师李铁军告诉记者,撞库攻击在国内信息安全领域是非常常见的攻击,不少用 户对优步账户的安全不太在意,而优步本身产品设计的问题使得用户要将银行卡和账户解绑非常困难,这是导致优步账户被盗现象高发的原因。