长时间没有用优步(Uber)打车软件,却收到了支付打车款的信息,与打车软件相关联的银行卡、支付宝内资金被盗刷。近日,付先生、周小姐等多位广州市民 遭遇了这样的事情,甚至出现在3小时内连续在上海、深圳、广州3个城市打车的诡异事件。尽管金额并不大,但却让付先生等人惊出一身冷汗。
羊城晚报记者调查了解到,优步账户频频被盗的投诉在网络上并不鲜见。受害者普遍认为,优步软件存在一定的系统漏洞,导致账号被盗,继而发生盗刷情况。而由于大量的用户账户信息被盗,网络上滋生了“Uber代叫”的群体,利用盗取的大量账号信息进行牟利。
优步中国向羊城晚报记者回应称,优步的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。
文/图 羊城晚报记者 李国辉 马化展
付先生的遭遇 三小时内遭遇四次盗刷
6月30日晚,已近半年没用过优步软件的广州某化妆品公司整合营销部副总监付先生突然收到支付宝发来的支付优步打车费用的消息。
“11点多是支付了28元,凌晨零点43分又支付了75.32元,到1点14分又收到了第三笔付款8元,开始我还以为是我以前打车付费的消息提示,后来才意识到自己可能被盗刷了。”付先生说,在他的优步软件页面上,并没有显示任何的乘车信息。
“7月1日凌晨两点的时候,我就发邮件向UBER申诉这种不正常的情况,在这过程中又收到了第四笔扣款65.02元。”付先生称,为保证自己支付宝账户安全,他当时立即向支付宝提出解除绑定的要求。
7月1日上午,在向优步公司邮件申诉后,付先生获得了全部退款。此时,付先生才确认,自己的优步账户确实被盗了,这四次盗刷支付的打车信息,分别发生在广州、深圳和上海三地。
当天上午,中国优步一名工作人员通过电话向付先生致歉,并在电话中表示,已经监测到付先生的账户存在风险,目前已经冻结该账户。付先生还被告知,之所以出现账户被盗的情况,可能是因为在其他平台上使用了相同的账户名和密码。
对此,心有余悸的付先生要求优步将自己原有的账户注销。
周小姐的遭遇 未透露验证码仍遭盗刷
无独有偶,广州市民周小姐也遭遇了优步账号被盗,银行储蓄卡内资金被盗刷支付打车费的问题。
周小姐告诉羊城晚报记者,她已经将近一年时间未曾使用优步软件。6月27日,她突然收到了优步推送的手机验证短信,称有其他新设备正在登录她的账户,随后又收到优步发来的两条验证码短信,称要验证她的“新账户”。因为不是自己的操作行为,周小姐以为,只要自己不将验证码泄露出去,对方就无法获得她的账户。
然而,周小姐很快又收到了优步的信息称,其优步账号信息已经被更新,其用来注册优步的邮箱也收到了账号信息已被更新的邮件。随后无论周小姐如何操作,她已经无法再用自己的手机号及邮箱登录自己原来的优步账号。
两个小时后,周小姐就收到了银行的扣费短信和支付宝发来的消息:自己支付了优步打车费49.64元。
为了防止自己的损失进一步扩大,周小姐迅速解绑了支付宝上的银行卡,并通过支付宝与原来的优步账号解除绑定。
周小姐说,直到现在,她已经多次发邮件向优步中国投诉自己的遭遇,但直到现在优步中国仍没有给予她任何的回应。
在盗刷账户 软件漏洞滋生灰色产业?
“让我觉得奇怪的是,对方想要篡改我的优步账号时,优步发了两次验证码给我,我都没有透露出去,为何对方最后还是能盗取我的账号?中间有什么样的漏洞?”周小姐说。
在向羊城晚报记者讲述这一经过时,付先生也发出了同样的质疑——优步软件可能存在系统漏洞。
“我觉得蛮恐怖的,为什么优步账户安全如此没有保障?我已经半年没使用过这个软件了,但就在3个小时里,打车信息却分布上海、广州、深圳多个地方?优步为什么没有相应的技术手段可以保护用户账户安全?”
事实上,羊城晚报记者调查了解到,与周小姐、付先生有着相同经历的用户并不鲜见。在向支付宝申请解除与优步授权自动扣费的过程中,支付宝客服人员告知付先生,应该是其优步账户被盗了,且并非是个案。
同时,早在6月17日,一篇名为《Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!》的文章在微信朋友圈也广为流传,阅读量迅速突破了“10万+”。这篇文章不仅曝光了部分优步用户账号被盗的情况,还披露了如今QQ上有着大量的“优步代叫群”,“无论距离多远,代叫都是20元、25元或30元”。
业内人士分析称,其正是利用盗取的优步账号为这些“代叫”服务对象埋单。
羊城晚报记者尝试在QQ上搜索“优步代叫”,即出现多个号称“全国优步代叫”的群。记者加入其中一个“全国优步代叫”的群发现,该群信息显示,“同城不限距离,20元左右一单,实时在线,随时服务”,而在另一个名为“优步代叫扎针群”的公告则显示“全国优步代叫正常接单!只要30元”!
QQ群内一名知情人士告诉记者,这些群就是通过一些手段,获得了大量优步用户的账户信息,并通过出售“代叫”服务从买家手中获得报酬,车费则由被盗的账户绑定的支付宝埋单。
已对网络诈骗 进行调查取证
对于账户被大量盗取的问题,中国优步的一名工作人员在向付先生致歉时称,现在很多的用户在多个第三方平台上,都使用相同的账户名和密码。盗取账户的人批量获得这些账户信息后,再到其他平台上批量登录。
对于付先生的质疑,他的账户信息被盗后,在不同地方的不同设备上登录,为何优步公司未能甄别的情况,中国优步的该名工作人员称,一般情况下,同一账户在多个设备上登录会被自动限制使用,而付先生的账户“可能还没出现一个很明显的情况,可能也是我们这边的疏忽导致的”。
对于“Uber账号被盗”的问题,中国优步向羊城晚报记者回复称,“盗号问题”是很多互联网平台遇到的共同挑战,优步的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。优步法务团队也将联手其合作伙伴对这种网络诈骗行为进行调查取证,坚决打击“盗号”行为,保障用户的账户安全,保障乘客和车主的利益。
然而,是否有相应的技术手段防止账号被盗的问题上,中国优步则表示,发生被他人盗号现象的账号通常在多个互联网平台使用同一个账户和密码,且密码较为简单。优步建议让用户主动提高密码强度,不使用简单或与其他平台重复的密码。
对于网络上出现的大量的“Uber代叫”,中国优步回应称:“这不是一种服务,而是不法分子的一种销赃行为,利用极少数用户贪小便宜的心理,侵害其他用户的财产,也严重损害了被‘盗号’用户对优步平台的信任。”优步称将对此严厉打击,并通过不断的技术升级提升安全防范措施。
优步中国还向羊城晚报记者回应称,当系统检测到试图在异地或非用户注册设备尝试登录的情况,优步系统会第一时间发送风险提示短信以及登录验证码至用户的注册手机。一旦用户发现账户被盗,可以立即邮件至专门处理各种账户问题的客服邮箱。
“我们会在最短时间内帮助用户找回被盗账户,赔偿非本人用车所造成的损失,确保优步用户不会有任何经济损失。”