还在睡觉Uber账户被扣款 疑似账号信息泄漏

多人有相同遭遇

市民林先生也于昨日上午10点被扣款2.7元。林先生当时在单位上班，并未外出乘车。行程记录中也没有昨日的乘车信息。林先生说，他的同事也遭遇这种情况。

林先生在自己的朋友圈和微博分享了遭遇之后，不断有小伙伴分享了相同遭遇。一位朋友将手机截屏分享给了林先生。某日，他突然收到了Uber账号在另一台设备登录的信息。这位小伙伴警惕心比较强，立刻关闭了百度钱包和Uber的关联，并且解绑了所有银行卡。因为这位小伙伴经营中经常用支付宝转账，而支付宝绑定了多张银行卡。所以一旦被盗刷，后果不堪设想。

Uber还没有回复

陈先生说，Uber是一家没有客服热线的公司，无论任何问题，一律用电子邮件写申请，这不免叫中国消费者有种投诉无门的感觉。另外，当安全风险大于方便时，免密设置本身就成为一种漏洞，只是，对于Uber来说，补上支付漏洞是有多难？

昨天下午，陈先生给Uber公司发了邮件，询问被扣款一事，但一直没有收到回应。

随后，导报记者也给Uber公司的媒体联络邮箱发了采访请求。半个小时后，收到邮件回复。遗憾的是，这是一篇全英文的邮件，落款是一名叫Kind的公关人员。邮件中说，由于当时是美国当地时间凌晨3点多，因此无法对此事立即做出回复。

目前，陈先生已经向12315投诉，尚未收到回复。导报也将继续关注此事。

专家说法

软件工程师：账号、密码可能被盗

Uber的自动扣款是当用户结束旅途时无需验证确认，可以直接下车走人，后台会自动扣款。

今年3月，一名黑客写了一篇标题为《Uber　优步客户端接口设计不当可导致撞库攻击》的文章，公布了优步的漏洞。为此，导报记者采访了几名软件工程师。他们猜测，市民陈先生和林先生等人的遭遇，可能是账号、密码被盗。

工程师小付是个热心人，接到导报记者的采访请求后，他立即对Uber客户端进行研究，迅速发现了三个比较明显的安全漏洞。首先，Uber账号异地或者在别的设备登录时不需要手机验证码，这也解释了黑客在盗号时，原账户主人没有收到提示的原因。其次，Uber在注册时绑定了支付宝、百度钱包或者关联银行卡，小额代扣客户端并不需要确认，也不会提醒。这也给黑客的连续盗刷提供了便捷条件。此外，Uber账户支持在多个设备同时登录，因此整个盗刷过程不会有任何消息提示用户。

小付说，盗号过程不算很难，一般黑客，都能操作。