Uber用戶中槍!可能成為黑客的“提款機(jī)”
告訴你一個(gè)秘密,你的Uber 登陸時(shí)是不需要手機(jī)驗(yàn)證碼的。
再告訴你一個(gè)秘密,你的Uber 八成綁定了支付寶/銀聯(lián)卡,在進(jìn)行小額付款時(shí)是不需要提供密碼的。
還告訴你一個(gè)秘密,Uber 是可以在多個(gè)設(shè)備同時(shí)登陸的。
納尼?你覺得這些都不是秘密?但是,把以上三條結(jié)合起來,可以得出一個(gè)終極秘密:
如果你的Uber 賬號(hào)被盜,黑客可以從容不迫地刷走你賬戶里的每一分錢。
而這種盜竊方式正在我們身邊發(fā)生。最近兩天,連續(xù)有用戶在微信朋友圈和百度貼吧反映類似遭遇:
莫名收到支付寶的扣款信息,顯示自己剛剛通過Uber 進(jìn)行了一次支付。
自己的Uber 突然被登出,而且重新登錄顯示密碼錯(cuò)誤。
根據(jù)中槍用戶的描述,大概可以還原出黑客的手法:通過非法手段竊取了用戶的UBER 賬號(hào),然后在自己的設(shè)備上登陸。通過和同伙之間偽造用車的交易,從而把用戶支付寶中的金額轉(zhuǎn)移。由于大多數(shù)用戶的支付寶和銀聯(lián)卡都默認(rèn)開啟小額支付免密碼的功能,所以在付款的時(shí)候不會(huì)遇到任何阻礙。
【用戶吐槽自己Uber 賬號(hào)的遭遇】
根據(jù)這一邏輯進(jìn)行了測(cè)試,發(fā)現(xiàn)Uber 可以在多個(gè)設(shè)備同時(shí)登陸而不掉線。而登陸新設(shè)備的時(shí)候,是不需要手機(jī)驗(yàn)證碼的。也就是說,一旦黑客掌握了用戶的密碼,就可以暢通無阻地竊取資金了。這不得不說是Uber 安全管理上的重大疏漏。
那么,Uber 的賬戶被盜取的可能性究竟有多大呢?暫且不說Uber 內(nèi)部對(duì)于密碼數(shù)據(jù)的保護(hù)工作如何,單單從黑客和黑產(chǎn)的角度來看,就可以通過多種方法得到用戶的密碼信息,例如:“撞庫(kù)”。所謂撞庫(kù)就是黑客利用其他平臺(tái)泄露的用戶密碼信息,來對(duì)目標(biāo)平臺(tái)進(jìn)行測(cè)試。大多數(shù)用戶的習(xí)慣是在多個(gè)平臺(tái)使用相同的密碼,這就造成了黑客可以有很大的幾率撞庫(kù)成功。舉例來說,黑客根據(jù)自己手中掌握的網(wǎng)易郵箱用戶信息,可能會(huì)順利登陸一批Uber 用戶的App。
【當(dāng)只綁定了一種支付方式的時(shí)候,右上角的編輯按鍵就會(huì)消失,用戶無法解綁】
意識(shí)到自己的Uber 賬戶如此不安全,嘗試更改登陸密碼。然而記者發(fā)現(xiàn),在手機(jī)端App 上,是沒有密碼修改這一選項(xiàng)的,必須登錄網(wǎng)頁(yè)才可以進(jìn)行修改密碼操作。而同樣讓人不安的是,在電腦端修改密碼時(shí),僅僅需要提供舊密碼就可以了。這種簡(jiǎn)單的安全模式也恰恰解釋了為什么有用戶的密碼突然被別人修改。
面對(duì)如此脆弱的安全形勢(shì),記者決定解綁自己的支付寶,然而讓人吐血的事情又發(fā)生了: UBER 需要用戶至少綁定一種支付方式,所以沒有辦法解除支付寶和Uber 的綁定。
目前還不能確定黑客究竟是用撞庫(kù)還是木馬的方式竊取用戶密碼。但如果你不想成為黑客的“提款機(jī)”,還是盡快改一下密碼吧。順便說一句,以Uber目前的安全機(jī)制,如果黑客通過木馬盜取你的密碼,那么你無論修改多少次密碼,都會(huì)被黑客重新獲取。在無法解綁的情況下,最保險(xiǎn)的方式還是申請(qǐng)暫停自己的支付寶。。。
智能界(m.6567na.cn)中國(guó)智能科技聚合推薦平臺(tái),秉承“引領(lǐng)未來智能生活”的理念,專注報(bào)道智能家居、可穿戴設(shè)備、智能醫(yī)療、機(jī)器人、3D打印、智能汽車等諸多科技前沿領(lǐng)域。聚合品牌宣傳、代理招商、產(chǎn)品評(píng)測(cè)、原創(chuàng)視頻、FM電臺(tái)與試用眾測(cè),深入智能硬件行業(yè),全平臺(tái)多維度為用戶及廠商提供服務(wù),致力成為中國(guó)最具影響力的智能硬件聚合推薦平臺(tái)。
數(shù)量:6 | 申請(qǐng)人數(shù):970 | 申領(lǐng):100積分 |
最新評(píng)論