Uber 用户中枪！可能成为黑客的“提款机”

本篇文章1069字，读完约3分钟

告诉你一个秘密，你的优步登录时不需要手机验证码。

告诉你另一个秘密，你的优步与支付宝/银联卡绑定，所以你在小额支付时不需要提供密码。

我还告诉你一个秘密，优步可以同时登录多个设备。

纳尼？你不认为这些是秘密吗？然而，结合以上三项，我们可以得出一个终极秘密:

如果你的优步账户被盗，黑客可以刷掉你账户中的每一分钱。

这种盗窃正在我们周围发生。在过去的两天里，不断有用户在微信朋友圈和百度贴吧中反映出类似的体验:

莫名其妙地收到了支付宝的扣款信息，显示他刚刚通过优步进行了支付。

我的优步突然被注销，当我再次登录时，密码是错误的。

根据被枪击用户的描述，恢复黑客的技术是可能的:通过非法手段窃取用户的优步账户，然后登录他自己的设备。通过与合作伙伴伪造汽车交易，用户支付宝中的金额被转移。由于大多数用户的支付宝和银联卡默认启用了无密码小额支付，他们在支付时不会遇到任何障碍。

[用户吐出优步账户的体验]

根据这一逻辑，雷锋记者测试发现，优步可以同时登录多个设备而不被掉线。当您登录到新设备时，您不需要手机验证码。也就是说，一旦黑客掌握了用户的密码，他就可以不受阻碍地偷钱。这不得不说是优步安全管理中的一个重大疏漏。

那么，优步的账户被盗的可能性有多大？不管优步对密码数据的保护如何，单从黑客和黑产品的角度来看，用户的密码信息可以通过各种方式获取，比如“撞入图书馆”。所谓的库冲突是指黑客利用从其他平台泄露的用户密码信息来测试目标平台。大多数用户的习惯是在多个平台上使用同一个密码，这使得黑客有很大的机会成功登陆图书馆。例如，黑客可以根据自己的网易邮箱用户信息成功登陆一批优步用户的应用。

[当只绑定一种支付方式时，右上角的编辑按钮将消失，用户无法解除绑定]

意识到自己的优步账户如此不安全，雷锋记者试图更改登录密码。但是，记者发现手机应用程序上没有密码修改选项，密码修改操作只能在登录网页后进行。同样令人不安的是，当在计算机端更改密码时，只需要提供旧密码。这种简单的安全模式只是解释了为什么用户的密码会突然被他人更改。

面对如此脆弱的安全形势，记者决定解除他的支付宝绑定，但这让人们再次吐血:优步需要用户绑定至少一种支付方式，所以没有办法解除支付宝和优步的绑定。

目前还不确定黑客是通过攻击图书馆还是木马窃取用户密码。但是如果你不想成为黑客的自动取款机，尽快改变你的密码。顺便说一句，在优步目前的安全机制下，如果黑客通过木马窃取了你的密码，不管你修改了多少次密码，它都会被黑客重新获取。如果你不能解开，最安全的方法是申请暂停你的支付宝。。。