Uber“盗号问题”引关注 “代叫”黑色产业链蔓延

　　“撞库”攻击导致盗号

　　那么，为什么Uber用户的账号会被盗呢？事实上，早在3月23日，就有网友指出Uber客户端存在漏洞可能导致“撞库”攻击。

　　根据网友的调查，由于Uber注册时使用的是手机号，但登录时却不需要手机验证码验证，加之由于Uber客户端允多台设备在线且没有异地登陆提醒，导致黑客可以通过“暴力破解”的方式盗取账号，并修改邮箱和密码。

　　而知乎网友“莫名”则指出另一个利用邮箱盗号的漏洞。他表示，黑客利用邮箱撞库拿到密码后，可以直接修改Uber账号密码，而不需要进行安全问题等二次验证，而且全程手机端不会收到任何短信。当黑客进入被盗的Uber账号后，捆绑的支付宝账号或银行卡号也随之出现。

　　对此，Uber中国相关负责人也回应称，在多个互联网平台使用同一个账号名和密码，且密码设置较为简单，较容易出现被他人盗号的现象。Uber中国网络安全团队十分重视保护用户的账号安全，目前已通过多种途径提醒广大用户在设置密码时选择复杂且独特的密码，避免在多个互联网平台使用同样的账号名和密码，以提高自身安全系数。

　　不过，也有不少用户表示Uber对盗号问题的回应不够及时。由于Uber没有在中国开通客服热线，因此大部分用户只能通过写邮件的方式向Uber申诉。不过，记者了解到，目前Uber已经开通了账户安全帮助热线，但仅限于处理账户未经授权被他人使用、账户信息和初始设置不符两类问题。

　　代叫黑色产业链

　　盗取Uber账号之后，为了变现，不法分子发展出了一条“代叫”的黑色产业链。

　　记者通过淘宝网找了一家提供Uber代叫服务的“商家”。对方表示，代叫服务全国通用，同城不限距离22.5元一单。具体的步骤是先通过淘宝旺旺告诉“商家”上、下车地点，成功下单后对方会告知司机的电话和车牌号，到了约定的时间直接上、下车，整个过程乘客无需支付给司机任何费用。

　　记者还发现，这些“代叫者”毫不避讳在微博、微信中“晒单”，并以介绍新用户享受优惠的方式扩大业务范围。更有甚者，有些人直接打出了招募分区域“代理”的广告。

　　业内人士认为，代叫者选择Uber，主要是因为它的自动扣款功能。在其他的平台消费后付款时，都需要确认订单或行程后，由消费者主动操作付款，但Uber在行程结束后会自动通过已绑定的支付方式扣去车费，无需验证和输密环节。

　　“代叫是利用了Uber软件行程结束自动扣款的特点，通过盗取的账号替人叫车。”西南科技大学法学院副教授廖天虎在接受媒体采访时表示，如果代叫者实施盗窃他人账户信息或信用卡并使用的，便构成盗窃罪；如果代叫者没有实施窃取行为，而是明知是非法获取的账户数据信息，而予以收购或代为销售的，则构成掩饰、隐瞒犯罪所得罪。

　　对于网络上出现的大量的“Uber代叫”服务，Uber中国回应媒体称：“这不是一种服务，而是不法分子的一种销赃行为，利用极少数用户贪小便宜的心理，侵害其他用户的财产，也严重损害了被‘盗号’用户对优步平台的信任。”Uber方面称将对此严厉打击，并通过不断的技术升级提升安全防范措施。（唐逸如）