“撞庫(kù)”攻擊導(dǎo)致盜號(hào)

　　那么，為什么Uber用戶(hù)的賬號(hào)會(huì)被盜呢？事實(shí)上，早在3月23日，就有網(wǎng)友指出Uber客戶(hù)端存在漏洞可能導(dǎo)致“撞庫(kù)”攻擊。

　　根據(jù)網(wǎng)友的調(diào)查，由于Uber注冊(cè)時(shí)使用的是手機(jī)號(hào)，但登錄時(shí)卻不需要手機(jī)驗(yàn)證碼驗(yàn)證，加之由于Uber客戶(hù)端允多臺(tái)設(shè)備在線(xiàn)且沒(méi)有異地登陸提醒，導(dǎo)致黑客可以通過(guò)“暴力破解”的方式盜取賬號(hào)，并修改郵箱和密碼。

　　而知乎網(wǎng)友“莫名”則指出另一個(gè)利用郵箱盜號(hào)的漏洞。他表示，黑客利用郵箱撞庫(kù)拿到密碼后，可以直接修改Uber賬號(hào)密碼，而不需要進(jìn)行安全問(wèn)題等二次驗(yàn)證，而且全程手機(jī)端不會(huì)收到任何短信。當(dāng)黑客進(jìn)入被盜的Uber賬號(hào)后，捆綁的支付寶賬號(hào)或銀行卡號(hào)也隨之出現(xiàn)。

　　對(duì)此，Uber中國(guó)相關(guān)負(fù)責(zé)人也回應(yīng)稱(chēng)，在多個(gè)互聯(lián)網(wǎng)平臺(tái)使用同一個(gè)賬號(hào)名和密碼，且密碼設(shè)置較為簡(jiǎn)單，較容易出現(xiàn)被他人盜號(hào)的現(xiàn)象。Uber中國(guó)網(wǎng)絡(luò)安全團(tuán)隊(duì)十分重視保護(hù)用戶(hù)的賬號(hào)安全，目前已通過(guò)多種途徑提醒廣大用戶(hù)在設(shè)置密碼時(shí)選擇復(fù)雜且獨(dú)特的密碼，避免在多個(gè)互聯(lián)網(wǎng)平臺(tái)使用同樣的賬號(hào)名和密碼，以提高自身安全系數(shù)。

　　不過(guò)，也有不少用戶(hù)表示Uber對(duì)盜號(hào)問(wèn)題的回應(yīng)不夠及時(shí)。由于Uber沒(méi)有在中國(guó)開(kāi)通客服熱線(xiàn)，因此大部分用戶(hù)只能通過(guò)寫(xiě)郵件的方式向Uber申訴。不過(guò)，記者了解到，目前Uber已經(jīng)開(kāi)通了賬戶(hù)安全幫助熱線(xiàn)，但僅限于處理賬戶(hù)未經(jīng)授權(quán)被他人使用、賬戶(hù)信息和初始設(shè)置不符兩類(lèi)問(wèn)題。

　　代叫黑色產(chǎn)業(yè)鏈

　　盜取Uber賬號(hào)之后，為了變現(xiàn)，不法分子發(fā)展出了一條“代叫”的黑色產(chǎn)業(yè)鏈。

　　記者通過(guò)淘寶網(wǎng)找了一家提供Uber代叫服務(wù)的“商家”。對(duì)方表示，代叫服務(wù)全國(guó)通用，同城不限距離22.5元一單。具體的步驟是先通過(guò)淘寶旺旺告訴“商家”上、下車(chē)地點(diǎn)，成功下單后對(duì)方會(huì)告知司機(jī)的電話(huà)和車(chē)牌號(hào)，到了約定的時(shí)間直接上、下車(chē)，整個(gè)過(guò)程乘客無(wú)需支付給司機(jī)任何費(fèi)用。

　　記者還發(fā)現(xiàn)，這些“代叫者”毫不避諱在微博、微信中“曬單”，并以介紹新用戶(hù)享受優(yōu)惠的方式擴(kuò)大業(yè)務(wù)范圍。更有甚者，有些人直接打出了招募分區(qū)域“代理”的廣告。

　　業(yè)內(nèi)人士認(rèn)為，代叫者選擇Uber，主要是因?yàn)樗淖詣?dòng)扣款功能。在其他的平臺(tái)消費(fèi)后付款時(shí)，都需要確認(rèn)訂單或行程后，由消費(fèi)者主動(dòng)操作付款，但Uber在行程結(jié)束后會(huì)自動(dòng)通過(guò)已綁定的支付方式扣去車(chē)費(fèi)，無(wú)需驗(yàn)證和輸密環(huán)節(jié)。

　　“代叫是利用了Uber軟件行程結(jié)束自動(dòng)扣款的特點(diǎn)，通過(guò)盜取的賬號(hào)替人叫車(chē)。”西南科技大學(xué)法學(xué)院副教授廖天虎在接受媒體采訪(fǎng)時(shí)表示，如果代叫者實(shí)施盜竊他人賬戶(hù)信息或信用卡并使用的，便構(gòu)成盜竊罪；如果代叫者沒(méi)有實(shí)施竊取行為，而是明知是非法獲取的賬戶(hù)數(shù)據(jù)信息，而予以收購(gòu)或代為銷(xiāo)售的，則構(gòu)成掩飾、隱瞞犯罪所得罪。

　　對(duì)于網(wǎng)絡(luò)上出現(xiàn)的大量的“Uber代叫”服務(wù)，Uber中國(guó)回應(yīng)媒體稱(chēng)：“這不是一種服務(wù)，而是不法分子的一種銷(xiāo)贓行為，利用極少數(shù)用戶(hù)貪小便宜的心理，侵害其他用戶(hù)的財(cái)產(chǎn)，也嚴(yán)重?fù)p害了被‘盜號(hào)’用戶(hù)對(duì)優(yōu)步平臺(tái)的信任。”Uber方面稱(chēng)將對(duì)此嚴(yán)厲打擊，并通過(guò)不斷的技術(shù)升級(jí)提升安全防范措施。（唐逸如）