【导读】专车服务给人们的出行带来了便捷体验，出门叫车已经成了生活中的一部分。但方便快捷的同时也产生新的问题：一旦用户的账户密码被盗，其所绑定的支付宝、信用卡等也就暴露无遗了。

近日，一些优步用户发现其账号在自己没叫车的情况下被叫车，并且被扣款，有的用户多次遇到此类情况。现在，摆在互联网专车面前的不仅是合法性问题，如何确认支付安全也刻不容缓。

十个小时内“被叫车”七次

6月9日早上，南京一家互联网公司的职员沈先生刚打开手机，就收到了支付宝的付款通知，其优步账户付款350元，付款时间是昨天晚上。对此，沈先生感到非常诧异，因为当时他正在睡觉，压根就没有叫车。

疑虑重重的沈先生打开优步账户，想查看下具体情况，没想到连账户都登录不了。作为互联网公司的产品经理，沈先生第一反应就是要联系客服，可是找来找去没有找到优步的客服电话，只能向优步官方写邮件，要求立即停止他的优步账号使用。

到了晚上，沈先生没有收到回应，因为担心再被叫车，沈先生又发了一封邮件给优步官方，与此同时，为了避免更大的损失，沈先生想了各种办法想停用自动支付功能，最后通过支付宝把优步自动扣款的功能关掉了。

6月10日，即盗刷后的第三天，沈先生接到了优步客服的电话，询问情况后，让沈先生重置了密码，并且返还了他被盗刷的350元。

当沈先生把自己的遭遇在网上反映后，发现有类似遭遇的乘客不在少数。“我算幸运的，很多人根本不知道客服邮件该怎么写，损失都没有挽回。”沈先生说。

杭州的李先生没有沈先生那么幸运，从6月19日下午开始，他的优步就“忙个不停”，从19日下午3点多到20日凌晨短短的十个小时内，他的优步账户被叫了7次，其中最贵的一次车费将近200元。一开始，李先生并没有注意支付宝的付款提醒消息，直到20日早上他才发现。“因为账户和密码被盗了，我通过支付宝解绑了优步支付，没想到我在优步上绑定的一张美国信用卡也被盗刷了几次。”现在，李先生已经把这张信用卡冻结，可是20日发给优步的邮件却迟迟没有得到回音。

修改密码不费劲 催生代叫服务

用过优步的乘客都知道，用户注册后，通常需要绑定支付宝账号。通过优步叫车，在司机将用户送达目的地后，优步系统会通过支付宝账号直接扣费，支付过程不需要用户输入支付密码，因此，从理论上来说，只要优步账号和密码被盗，对方就可以不费周折地使用其支付宝付车费，而这竟然也成了一种“商机”。

记者在淘宝网上搜索“优步代叫”的商品，发现有不少商家都提供此类服务，而同时，他们也售卖优步的优惠券。如果想要优步代叫的服务，不能通过旺旺进行，而是要加卖家的微信。

记者加了一位卖家的微信，该卖家告诉记者，所谓优步代叫，就是乘客只要把自己所在的地方、目的地和手机号告诉卖家，卖家就会用他所拥有的优步账号替乘客叫车，行程结束后，不需要乘客付钱，卖家会支付钱，而乘客要支付给卖家的是此前和卖家谈好的价格。记者咨询了几个卖家，在上海，同城的车费在40元左右一趟，不限距离，不限人数。

根据卖家的解释，其用来叫车的账号都是白号，并没有所谓的盗号。有业内人士告诉记者，很有可能卖家得到了一批优步账号和密码，就用这些账号叫车，支付则是用这些账号绑定的支付宝或信用卡，实际上，不需要卖家付出什么，而且还可以坐收乘客支付的所谓“车费”，这种“代叫”服务其实就是“刷单”产业链的一种。

在乘客被盗刷的过程中，有一个共同的问题是其账户密码会被修改，要修改优步的密码是不是很容易呢?记者尝试了一下，登录优步账户，在其设置中可以看到账户信息，显示该账户注册时的姓名、手机号码和邮箱，点击“编辑账户”，填写验证密码，该密码即账户登录密码。接下去，就可以修改邮箱、手机号码了。如果盗号者把邮箱改成自己的邮箱，其邮箱内会收到确认邮件，只要点击确认邮件上的链接就算改好邮箱了。优步修改密码方式有两种，一种是通过邮件，一种是通过手机号码。以通过邮件修改密码为例，只要点击通过电子邮件修改密码，优步就会向账户确认过的邮箱发送邮件，打开邮件中的链接，就可以重置密码，原账户的密码可以绕过原来的主人修改成功。在修改账户信息和密码的过程中，原来的邮箱和手机号会收到账户信息更改的提醒，但如果用户没有留意并加以阻止，很可能就被盗刷。

优步相关人士告诉记者，代叫是一种违法犯罪行为，优步会配合查处。

白帽子黑客称优步客户端接口存漏洞

乘客沈先生告诉记者，本来觉得自动扣款蛮方便的，但现在看来优步在支付安全和认证方面并没有做到位。

今年3月，一位白帽子黑客在乌云网上公布了优步的漏洞，其标题为“Uber 优步客户端接口设计不当可导致撞库攻击”。一位不愿透露姓名的乌云网工作人员告诉记者，盗号过程不算很难，一般黑客，都能操作。在他看来，优步采用了免密支付的流程，一个优步账号就可以打通这些支付方式，因此优步账号的价值和重要度非常高。但是，黑客可以用遍历手机号的方式来猜测弱密码存在的可能性，也可以根据互联网已经泄露的用户信息进行“撞库”。“所谓遍历手机号，就是由于手机号码格式是固定的，理论上可以用数字穷举把所有的可能性都尝试一遍，而且光用123456这样的密码就能猜出很多账号，这样的探测流程可以用程序自动化实现。”这位工作人员解释说。

这位工作人员告诉记者，白帽子用技术手段在优步客户端分析得知，优步的客户端的https证书未做校验，攻击者可以伪造证书利用优步的登录接口进行尝试。而且优步的账号可以在多台设备登录，登录错误次数也没有限制，可以一直尝试下去。此外，优步接口中有一个可以通过姓名和手机号码查询用户的功能，这个也没有做验证，白帽子可以批量猜解用户手机是否注册了优步。对于这些问题，乌云平台表示目前并未收到优步的反馈，“如果在支付时能设一道防线，这种盗刷的现象会好很多。”

记者在采访中发现，很多用户被盗刷后想解绑支付宝、想联系人工客服，都未能很快找到解决方法。记者也没有在优步客户端找到解绑支付宝的方法，要通过支付宝客户端-我的-设置-安全设置-安全中心-账户授权管理，才能解绑支付宝。

关于人工客服，优步相关人士告诉记者，目前开通了4008196582这个号码，但主要解决账户安全问题。

来源：IT时报