多人有相同遭遇

　　市民林先生也于昨日上午10點(diǎn)被扣款2.7元。林先生當(dāng)時(shí)在單位上班，并未外出乘車。行程記錄中也沒(méi)有昨日的乘車信息。林先生說(shuō)，他的同事也遭遇這種情況。

　　林先生在自己的朋友圈和微博分享了遭遇之后，不斷有小伙伴分享了相同遭遇。一位朋友將手機(jī)截屏分享給了林先生。某日，他突然收到了Uber賬號(hào)在另一臺(tái)設(shè)備登錄的信息。這位小伙伴警惕心比較強(qiáng)，立刻關(guān)閉了百度錢包和Uber的關(guān)聯(lián)，并且解綁了所有銀行卡。因?yàn)檫@位小伙伴經(jīng)營(yíng)中經(jīng)常用支付寶轉(zhuǎn)賬，而支付寶綁定了多張銀行卡。所以一旦被盜刷，后果不堪設(shè)想。

Uber還沒(méi)有回復(fù)

　　陳先生說(shuō)，Uber是一家沒(méi)有客服熱線的公司，無(wú)論任何問(wèn)題，一律用電子郵件寫申請(qǐng)，這不免叫中國(guó)消費(fèi)者有種投訴無(wú)門的感覺。另外，當(dāng)安全風(fēng)險(xiǎn)大于方便時(shí)，免密設(shè)置本身就成為一種漏洞，只是，對(duì)于Uber來(lái)說(shuō)，補(bǔ)上支付漏洞是有多難？

　　昨天下午，陳先生給Uber公司發(fā)了郵件，詢問(wèn)被扣款一事，但一直沒(méi)有收到回應(yīng)。

　　隨后，導(dǎo)報(bào)記者也給Uber公司的媒體聯(lián)絡(luò)郵箱發(fā)了采訪請(qǐng)求。半個(gè)小時(shí)后，收到郵件回復(fù)。遺憾的是，這是一篇全英文的郵件，落款是一名叫Kind的公關(guān)人員。郵件中說(shuō)，由于當(dāng)時(shí)是美國(guó)當(dāng)?shù)貢r(shí)間凌晨3點(diǎn)多，因此無(wú)法對(duì)此事立即做出回復(fù)。

　　目前，陳先生已經(jīng)向12315投訴，尚未收到回復(fù)。導(dǎo)報(bào)也將繼續(xù)關(guān)注此事。

專家說(shuō)法

軟件工程師：賬號(hào)、密碼可能被盜

　　Uber的自動(dòng)扣款是當(dāng)用戶結(jié)束旅途時(shí)無(wú)需驗(yàn)證確認(rèn)，可以直接下車走人，后臺(tái)會(huì)自動(dòng)扣款。

　　今年3月，一名黑客寫了一篇標(biāo)題為《Uber　優(yōu)步客戶端接口設(shè)計(jì)不當(dāng)可導(dǎo)致撞庫(kù)攻擊》的文章，公布了優(yōu)步的漏洞。為此，導(dǎo)報(bào)記者采訪了幾名軟件工程師。他們猜測(cè)，市民陳先生和林先生等人的遭遇，可能是賬號(hào)、密碼被盜。

　　工程師小付是個(gè)熱心人，接到導(dǎo)報(bào)記者的采訪請(qǐng)求后，他立即對(duì)Uber客戶端進(jìn)行研究，迅速發(fā)現(xiàn)了三個(gè)比較明顯的安全漏洞。首先，Uber賬號(hào)異地或者在別的設(shè)備登錄時(shí)不需要手機(jī)驗(yàn)證碼，這也解釋了黑客在盜號(hào)時(shí)，原賬戶主人沒(méi)有收到提示的原因。其次，Uber在注冊(cè)時(shí)綁定了支付寶、百度錢包或者關(guān)聯(lián)銀行卡，小額代扣客戶端并不需要確認(rèn)，也不會(huì)提醒。這也給黑客的連續(xù)盜刷提供了便捷條件。此外，Uber賬戶支持在多個(gè)設(shè)備同時(shí)登錄，因此整個(gè)盜刷過(guò)程不會(huì)有任何消息提示用戶。

　　小付說(shuō)，盜號(hào)過(guò)程不算很難，一般黑客，都能操作。