美国打车平台优步在华水土不服:安全隐患多,频现账户盗涮问题
-
-
类目:微商怎么做
-
联系人:
-
微信号:
-
Q Q 号:
-
手机号:
-
浏览量:
474
【商户信息】
【货源详情】
近日,美国出租车平台优步在广州、北京等地被曝光为账号被盗,甚至被黑色产业链利用公开叫卖的负面事件。随后,一些专家和内部人士告诉记者,优步的账户验证、支付和客服沟通等很多流程都不符合中国,很难被中国用户理解。这些潜在的安全隐患表明,优步对国内商业环境并不熟悉。
问题一:验证方式单一 账户密码太容易被盗
猎豹安全专家李铁军告诉记者:目前互联网账号被盗的案例很多,经常有优步系统被入侵、数据被泄露的传闻。这些在线交易存在一个主要风险:数据库碰撞攻击(注:黑客试图登录他们在其他网站上获得的泄露数据,因为许多用户喜欢使用统一的用户名和密码)。比如国内最大的邮箱之前被曝“拖库”,导致大量用户邮箱被盗。
许多像优步这样的网上账户盗窃事件都与“数据库碰撞”有关。前段时间,国内大量苹果手机被锁定勒索,12306用户信息泄露就是例子。李铁军说,估计是黑产业链盗取了这些账号并非法出售,甚至催生了网上“优步来电”业务,导致有人购买他人账号乘坐公交车,真正的用户利益受损。
记者随后联系了优步公司,该公司回应:据我们了解,被别人黑过的账号通常都有相同的特点:在多个互联网平台上使用相同的账号名称和密码,密码也比较简单。该公司否认系统漏洞被攻击的可能性。
也有用户对此提出质疑,绑定的手机和邮箱同时被修改。一般来说,手机和邮箱是彼此的安全底线,同时被修改意味着安全底线消失,完全不安全。而且,用户手机和邮箱同时修改后,仍然可以通过之前的邮箱账号登录。
“拖库”事件后,各大互联网公司都加强了对自己账号的安全防护,增加了短信验证码的验证方式。不过,经过核实,记者发现,优步目前不支持短信和邮件双重验证。李铁军说,这使得优步的账号在面对图书馆攻击时毫无抵抗之力。
问题二:直接扣费不需确认 眼睁睁看着账户被盗涮
部分被盗用户反映,在收到银行卡所在银行提示的前一天发生了两笔支付,一笔63.86元,另一笔162.75元。经查,所有支付都是通过优步客户端进行的,但在此之前,优步客户端无法登录,基本相当于用户无法观看银行卡被盗。
国内另一家出租车平台内部人士表示,用户会对优步的使用过程感到顺畅,因为整个过程不需要确认,这是基于国外信任度高的环境。国内公司的整个出租车支付流程需要经过更多的步骤。双方最大的区别是国内汽车平台要求用户确认付款,而美国的优步直接扣钱。前者更符合国内的商业环境和用户习惯。
李铁军表示,优步是一家美国互联网公司,中美两国的银行卡安全政策存在巨大差异。虽然优步可以快速退款,但这是美式解决方案,要靠保险。
由于优步账户必须与支付账户捆绑,中国用户有曲线解决方案,包括解绑信用卡、关联支付宝、登录支付宝、在安全设置中删除该扣款授权,避免了扣款风险。
问题三:沟通全靠邮件来往 风险提醒和防范不够
除了直接推演,优步还有很多用户吐槽的操作流程。比如其他特种车辆需要手机登录,短信验证,而优步直接登录,不需要任何验证。优步还支持多个设备同时登录。此外,优步的沟通主要通过邮件进行,反馈不及时。
对于这些安全风险,“白帽”(发布漏洞但不恶意利用漏洞的黑客)曾公开警告过类似的风险,但优步没有改变,也没有提醒用户。例如,在这种情况下,用户提问
对此,优步公司昨日也表示,当系统检测到异地登录尝试或非用户注册设备时,优步系统会尽快向用户注册手机发送风险预警消息和登录验证码。一旦用户发现账户被盗,可以立即邮寄到处理各种账户问题的客服邮箱。优步将帮助用户在最短的时间内找到被盗账户,并赔偿非自有汽车造成的损失。
用户继续质疑来自优步的官方提醒是否及时,但后续处理使这些及时提醒失效,邮箱持续时间很长
没有人回复,导致用户没办法修改密码和个人资料。事件回放:
被盗后
用户无法改密码和解绑
有用户爆料称,近日深夜2时,收到手机短信提示“你的优步账号信息已经更新(手机号码、电子邮件)”,因为当时正在熟睡中,所以没有注意到。当天上午9时左右,用户发现被盗后马上登录优步客户端,发现客户端仍然可以登录,但是手机号码和信箱已经改变。
随后,该用户马上申请修改密码,提示说需要填写个人信箱,修改密码的链接会发到该信箱里面去,此后一直未收到更改密码的邮件,重新填写了一次申请,后来仍未收到邮件,此时,优步APP仍然可以正常登录。
由于担心被盗涮,用户尝试解绑信用卡,但是APP提示:至少要绑定一种支付方式,无法解除绑定。第二天早上,用户收到银行卡所在银行的短信提示,前一天发生两笔付款,一笔63.86元,另一笔162.75元,后查明,都是通过优步客户端支付。该用户继续通过优步客服信箱联系,但邮件均石沉大海,只得致电银行冻结信用卡。
优步回应:坚决打击“盗号”行为
优步非常重视少数用户近期向优步客服反映的“账户被盗”问题。“盗号问题”是很多互联网平台遇到的共同挑战,优步的网络安全团队已经着手调查此事,并将采取严格的安全防范措施,持续通过技术升级来巩固平台的安全。优步法务团队也将联手我们的合作伙伴对这种网络诈骗行为进行调查取证,坚决打击“盗号”行为,保障用户的账户安全,保障乘客和车主的利益。
据了解,发生被他人盗号现象的账号通常具有同一特征:在多个互联网平台使用同一个账名和密码,且密码较为简单。用户安全保障系统不断优化的过程也是持续遏制不法行为的过程,非常抱歉在此过程中会给部分用户带来困扰,同时也建议用户主动提高密码强度,不使用简单或者与其他平台重复的密码,加强自我保护意识,与优步一起遏制不法分子的不法行为。
当系统检测到试图在异地或非用户注册设备尝试登录的情况,优步系统会第一时间发送风险提示短信以及登录验证码至用户的注册手机。
一旦用户发现账户被盗,可以立即邮件至专门处理各种账户问题的客服邮箱:[email protected],优步会在最短时间内帮助用户找回被盗账户,赔偿非本人用车所造成的损失,确保优步用户不会有任何经济损失。
目前,优步公司回应称,非常重视少数用户近期向优步客服反映的“账户被盗”问题,将持续通过技术升级来巩固平台的安全,并建议用户主动提高密码强度,不使用简单或者与其他平台重复的密码。
