近期,美国打车平台优步(Uber)在广州、北京等地被曝出账户盗刷、甚至被黑色产业链拿来公开叫卖的负面事件。随后,优步公司回应称,非常重视少数用户近期向优步客服反映的“账户被盗”问题,将持续通过技术升级来巩固平台的安全,并建议用户主动提高密码强度,不使用简单或者与其他平台重复的密码。
不过,有专家和行内人士对记者说,优步的账户验证、支付以及客服沟通等诸多流程都与国内不接轨,难以被中国用户所理解,这些安全隐患说明优步还不熟悉国内的商业环境。
问题一:验证方式单一账户密码太容易被盗
猎豹安全专家李铁军对记者说:当前互联网账户被盗的情况确实很多,常有关于优步系统被入侵和数据泄露的传言。这些网络交易普遍存在一个主要风险:撞库攻击(注:黑客将得到的已泄露数据在其他网站上进行尝试登录,因为很多用户喜欢使用统一的用户名密码)。如国内第一大邮箱此前被曝“拖库”,造成邮箱被盗的用户非常多。
类似优步的诸多网络账户被盗事件都与“撞库”有关。前段时间爆发的中国苹果手机大量被锁定勒索事件、12306用户信息泄露事件就是例证。李铁军说,估计黑色产业链偷盗这些账号后非法出售,甚至滋生了网上“优步代叫”生意,导致一部分人买别人的账号来坐车,真正用户利益受损。
记者随后与优步公司联系,该公司回应称:据我们了解,发生被他人盗号现象的账号通常具有同一特征:在多个互联网平台使用同一个账名和密码,且密码较为简单。该公司否认了系统漏洞被攻击的可能。
也有用户对此质疑,绑定的手机和信箱同时被修改,一般来说,手机与信箱互为安全底线,同时被修改意味着安全底线的消失、彻底的不安全。而且用户手机、信箱同时被修改以后,通过之前的信箱账户居然仍旧能登录。
“拖库”事件发生后,各大互联网公司都加强了对账户的安全保护,增加了短信验证码的验证方式,而记者经过验证发现,优步目前并不支持手机短信和邮箱双重验证。李铁军说,这导致优步账户在撞库攻击面前没有抵抗力。
问题二:直接扣费不需确认眼睁睁看着账户被盗刷
有被盗用户反映,收到银行卡所在银行的提示前一天发生两笔付款,一笔63.86元,另一笔162.75,后查明,都是通过优步客户端支付,而此前,优步客户端已经无法登录,基本相当于用户眼睁睁看着银行卡被盗而无能为力。
国内另一家打车平台内部人士说,用户对优步的使用流程会感觉流畅,因为全流程都不用确认,这是基于国外信任度比较高的环境。而国内公司整个打车支付的流程需要经过更多的步骤,双方之间最大的一个区别是,国内专车平台要求用户确认付款,而美国优步是直接扣款,前者更符合国内商业环境和用户习惯。
李铁军说,优步是美国互联网公司,美国和中国在银行卡安全方面的政策有巨大差异。尽管优步可以快速退款,这是一种美国式的解决方案,靠保险来解决。
由于优步账户必须捆绑支付账号,中国用户有一个曲线解决办法,先解绑信用卡,关联支付宝,然后登录支付宝,在安全设置中将这个扣款授权删除,就可以避免扣款风险。
问题三:沟通全靠邮件来往风险提醒和防范不够
除了直接扣款,优步还有多个操作流程被用户吐槽。如其他专车要用手机登录和短信验证,而优步是直接登录,无须任何验证,优步还支持多设备同时登录。另外,优步诸多沟通主要通过邮件往来进行,反馈也不及时。
对于这些安全隐患,较早前已有“白帽子”(公布漏洞而不恶意利用的黑客)公开提醒过类似风险,优步并没有改变和提醒用户。如案例中用户提出质疑:短时间内账户在异地和不同设备上进行了登录消费,这是明显的盗刷,为什么平台没有去主动提醒用户和限制消费?
对此,优步公司昨日也表示,当系统检测到试图在异地或非用户注册设备尝试登录的情况,优步系统会第一时间发送风险提示短信以及登录验证码至用户的注册手机。一旦用户发现账户被盗,用户可以立即邮件至专门处理各种账户问题的客服邮箱,优步会在最短时间内帮助用户找回被盗账户,赔偿非本人用车所造成的损失。
用户继续质疑说,来自优步官方的提醒很及时,但是后续的处理让这些很及时的提醒形同虚设,信箱长时间没有人回复,导致用户没办法修改密码和个人资料。
事件回放:
被盗后
用户无法改密码和解绑
有用户爆料称,近日深夜2时,收到手机短信提示“你的优步账号信息已经更新(手机号码、电子邮件)”,因为当时正在熟睡中,所以没有注意到。当天上午9时左右,用户发现被盗后马上登录优步客户端,发现客户端仍然可以登录,但是手机号码和信箱已经改变。
随后,该用户马上申请修改密码,提示说需要填写个人信箱,修改密码的链接会发到该信箱里面去,此后一直未收到更改密码的邮件,重新填写了一次申请,后来仍未收到邮件,此时,优步APP仍然可以正常登录。
由于担心被盗刷,用户尝试解绑信用卡,但是APP提示:至少要绑定一种支付方式,无法解除绑定。第二天早上,用户收到银行卡所在银行的短信提示,前一天发生两笔付款,一笔63.86元,另一笔162.75元,后查明,都是通过优步客户端支付。该用户继续通过优步客服信箱联系,但邮件均石沉大海,只得致电银行冻结信用卡。
优步回应:坚决打击“盗号”行为
优步非常重视少数用户近期向优步客服反映的“账户被盗”问题。“盗号问题”是很多互联网平台遇到的共同挑战,优步的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。优步法务团队也将联手我们的合作伙伴对这种网络诈骗行为进行调查取证,坚决打击“盗号”行为,保障用户的账户安全,保障乘客和车主的利益。
据了解,发生被他人盗号现象的账号通常具有同一特征:在多个互联网平台使用同一个账名和密码,且密码较为简单。用户安全保障系统不断优化的过程也是持续遏制不法行为的过程,非常抱歉在此过程中会给部分用户带来困扰,同时也建议用户主动提高密码强度,不使用简单或者与其他平台重复的密码,加强自我保护意识,与优步一起遏制不法分子的不法行为。
当系统检测到试图在异地或非用户注册设备尝试登录的情况,优步系统会第一时间发送风险提示短信以及登录验证码至用户的注册手机。
一旦用户发现账户被盗,可以立即邮件至专门处理各种账户问题的客服邮箱:support-cn-ac@uber.com,优步会在最短时间内帮助用户找回被盗账户,赔偿非本人用车所造成的损失,确保优步用户不会有任何经济损失。
|
