近日,一张写明“经计算,12.5Km以内用优步比较划算,大于12.5Km用滴滴较划算”的图片在微信朋友圈疯传。随着Uber、滴滴等叫车软件的普及,越来越多的用户习惯了出行前通过叫车软件打车。“轻点按键,即可乘车”的方式让用户对出行充满期待,除了平台补贴的价格刺激,更有乘车体验和社交场景的搭建。用户可以期待行程中出现一辆超出心理预期的高级车、结识一位志趣相投的车主的可能性。不过,就像硬币的两面,便捷出行的背后也隐藏着潜在风险。多家媒体日前接连曝光Uber叫车软件存在漏洞,导致用户账号被盗,甚至在异地完成叫车服务,给用户带来金钱损失,并由此衍生出一条“代叫”黑色产业链。
免密码自动扣款成隐患
“我用Uber出行很方便,尤其是自家车被限号的时候。不过Uber的免密码支付方式,这在国内应该还算是少有的。我直接绑定的信用卡,有一回居然出现过8美元的账单。但我从来没离开北京。”家住海淀牡丹园附近的胡女士有时也会担心,Uber支付账号直接绑定和免密码支付的方式,不得不让人对安全性也多了一份担忧。万一手机掉了呢?
据了解,注册Uber账户有两种方式:授权支付宝账户直接登录,或用邮箱、手机号码进行注册。随后,用户需要在百度钱包、银联、支付宝、国际信用卡中,至少添加一种方式进行绑定。添加支付方式后,用户在使用Uber时,行程结束后,无需输入支付密码,系统会自动扣除费用。
Uber的初衷是“自在出行,轻松付费”,但现在这一“免密支付”功能却成为大量用户吐槽的“重灾区”。一旦账号被盗,用户能想到的举措就是解除绑定。无奈的是,Uber用户不能自己解绑,只能通过工作邮箱操作。
家住上海的刘女士,7月8日发布微博称:“今早在Uber上打车,叫的人民优步,家到公司8公里的路收了我107元,优惠12元,支付宝扣掉95元。比正常费用提高了4.2倍。用户的钱就这么容易被骗掉的吗?投诉无门,给客服发邮件也一直没人回。”
北京市盈科律师事务所刑事部主任易胜华经常使用优步,他在接受科技日报记者采访时表示:“优步最大的问题,就是没有客服电话。免密支付的确方便,但也存在风险,利弊共存。作为优势地位的一方,应当采取更加严密有效的措施,保护用户的隐私和财产权益。乘客也应小心谨慎,尽量不绑定高额账户。”
对此,优步中国方面称,优步一直通过多种途径提醒广大用户在设置密码时选择复杂且独特的密码,避免在多个互联网平台使用同样的账户名和密码,以提高自身安全系数。近期,滴滴、Uber、神州等专车公司也上线了这类隐藏用户手机号码的通信技术服务。
暗藏“代叫”黑色产业链
据外媒CNBC报道,安全公司Trend Micro称,对于不法分子来说,Uber账号已经变得比信用卡信息有价值得多。根据Trend Micro收编的数据,被盗Uber账号信息在地下市场中的售价平均为每账号3.78美元,个人验证信息(包含任何可用于实施身份诈骗的信息,如社会保险号和出生日期)的售价则通常在1美元到3.30美元之间。
Uber方面回应媒体称,“盗号问题”是很多互联网平台遇到的共同挑战,优步的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。
代叫者之所以选择Uber,主要是因为它的自动扣款功能。代叫者通过盗取的账号替人叫车,盗号、卖号、更改用户数据等一系列的环节,已发展形成一条严密而完整的黑色产业链。
此外,Uber账号被盗后很难解绑支付方式,也让Uber账号被盗后信用卡被盗刷难以及时挽救。记者发现,Uber账号被盗并非个案。为一探究竟,科技日报记者在QQ上搜索“Uber代叫”,竟出现了70多个代叫的QQ群。这些“代叫者”,在QQ空间大肆宣传着“全国专车代叫,25元一单,不限公里数,绝不掉线”。
不仅如此,在淘宝网上也可找到提供Uber代叫服务的“商家”。对方表示,代叫服务全国通用,同城不限距离22.5元一单。具体的步骤是先通过淘宝旺旺告诉“商家”上、下车地点,成功下单后对方会告知司机的电话和车牌号,到了约定的时间直接上、下车,整个过程乘客无需支付给司机任何费用。
西南科技大学法学院副教授王洪友在接受科技日报记者采访时谈道:“如果代叫者使用他人账号支付,构成盗窃,加起来的数额达到当地规定的盗窃罪数额时,构成盗窃罪。”律师易胜华也表示:“代叫,从刑事上说,该行为属于盗窃;从民事上说,优步公司应当对自己的管理漏洞、对受损失的用户承担赔偿责任。”
对此,Uber中国回应媒体称:“这是不法分子的一种销赃行为,利用极少数用户贪小便宜的心理,侵害其他用户的财产,也严重损害了被‘盗号’用户对优步平台的信任。”Uber方面称将对此严厉打击,并通过不断的技术升级提升安全防范措施。
移动支付安全面临挑战
趋势科技早前发布的《2015年暨未来网络安全预测报告》显示,2017年全球移动支付市场规模将高达900亿美元,移动支付服务这种新的支付形态很可能成为黑客攻击的新目标。移动支付在为我们的生活带来便捷的同时,也对网络安全防护提出新的挑战。
当移动支付被越来越多人所接受,为了平时购物方便,人们不仅将越来越多的移动应用与银行卡绑定,向银行卡内存入的金额也是越来越大。来自易到用车方面的数据显示,过去两个月,该平台的“高额充返”活动获得的充值总额已突破17亿元。在此背景下,移动支付背后的安全问题更需引起人们的重视。
Uber中国相关负责人表示,在多个互联网平台使用同一个账户名和密码,且密码设置较为简单,较容易出现被他人盗号的现象。Uber中国网络安全团队十分重视保护用户的账户安全,目前已通过多种途径提醒广大用户在设置密码时选择复杂且独特的密码,避免在多个互联网平台使用同样的账户名和密码,以提高自身安全系数。同时,Uber中国设有专项客服人员为用户提供帮助,确保用户非本人的消费可有效返还。
Packeteer大中国区副总李晓东表示,智能手机的快速普及,使今天的手机与昨天的手机不可同日而语。但是在带给人方便的同时,它也将PC端带给大家的问题复制过来了。手机上的各种漏洞层出不穷,尤其是基于开放的安卓系统的手机,在方便的同时,也方便了别人窃取你的信息。任何一个应用,都可以采集你的诸多私密信息。苹果手机由于采用封闭系统,要略好一点,但也不是没有漏洞,只要有心可为,还是有空子可钻。在这样的环境里完成支付,真的有点“裸奔”的感觉。(实习生郭盈)