还在睡觉Uber账户被扣款 疑似账号信息泄漏

东南网7月21日讯 （海峡导报记者 刘承烺 陆军航 实习生 李炫睿 薛样洋)出门叫专车服务已经成为一种生活现象，专车给人们的出行带来便捷体验。但是，这也产生新的问题，万一账户和密码被盗，其所绑定的钱包、信用卡也等于“见了天日”。

昨天，市民陈先生反映Uber系统会乱扣费，另有多名用户多次遇到此类情况。现在，摆在网约车面前的不仅是合法性问题，如何保证支付安全也刻不容缓。

睡午觉时被扣款

昨天中午陈先生正在午睡，一觉醒来打开手机，有两条未读短信。一看，收到的是中信银行短信提醒，说自己消费了人民币11.47元；再往下一条是百度钱包的短信，13:22，在Uber优步已经成功付款11.47元。就睡了个觉，门都没出，陈先生怎么还莫名其妙“消费”了？

陈先生有13:00到14:00睡午觉的习惯，这期间还会将手机设为飞行模式。他说，“我这个星期都没有用过‘优步’，上一次用是7月12日，钱也已经是支付了，‘优步’怎么就乱扣钱”？

多人有相同遭遇

市民林先生也于昨日上午10点被扣款2.7元。林先生当时在单位上班，并未外出乘车。行程记录中也没有昨日的乘车信息。林先生说，他的同事也遭遇这种情况。

林先生在自己的朋友圈和微博分享了遭遇之后，不断有小伙伴分享了相同遭遇。一位朋友将手机截屏分享给了林先生。某日，他突然收到了Uber账号在另一台设备登录的信息。这位小伙伴警惕心比较强，立刻关闭了百度钱包和Uber的关联，并且解绑了所有银行卡。因为这位小伙伴经营中经常用支付宝转账，而支付宝绑定了多张银行卡。所以一旦被盗刷，后果不堪设想。

Uber还没有回复

陈先生说，Uber是一家没有客服热线的公司，无论任何问题，一律用电子邮件写申请，这不免叫中国消费者有种投诉无门的感觉。另外，当安全风险大于方便时，免密设置本身就成为一种漏洞，只是，对于Uber来说，补上支付漏洞是有多难？

昨天下午，陈先生给Uber公司发了邮件，询问被扣款一事，但一直没有收到回应。

随后，导报记者也给Uber公司的媒体联络邮箱发了采访请求。半个小时后，收到邮件回复。遗憾的是，这是一篇全英文的邮件，落款是一名叫Kind的公关人员。邮件中说，由于当时是美国当地时间凌晨3点多，因此无法对此事立即做出回复。

目前，陈先生已经向12315投诉，尚未收到回复。导报也将继续关注此事。

专家说法

软件工程师：账号、密码可能被盗

Uber的自动扣款是当用户结束旅途时无需验证确认，可以直接下车走人，后台会自动扣款。

今年3月，一名黑客写了一篇标题为《Uber　优步客户端接口设计不当可导致撞库攻击》的文章，公布了优步的漏洞。为此，导报记者采访了几名软件工程师。他们猜测，市民陈先生和林先生等人的遭遇，可能是账号、密码被盗。

工程师小付是个热心人，接到导报记者的采访请求后，他立即对Uber客户端进行研究，迅速发现了三个比较明显的安全漏洞。首先，Uber账号异地或者在别的设备登录时不需要手机验证码，这也解释了黑客在盗号时，原账户主人没有收到提示的原因。其次，Uber在注册时绑定了支付宝、百度钱包或者关联银行卡，小额代扣客户端并不需要确认，也不会提醒。这也给黑客的连续盗刷提供了便捷条件。此外，Uber账户支持在多个设备同时登录，因此整个盗刷过程不会有任何消息提示用户。

小付说，盗号过程不算很难，一般黑客，都能操作。