­　　修改密碼不費(fèi)勁 催生代叫服務(wù)

­　　用過優(yōu)步的乘客都知道，用戶注冊(cè)后，通常需要綁定支付寶賬號(hào)。通過優(yōu)步叫車，在司機(jī)將用戶送達(dá)目的地后，優(yōu)步系統(tǒng)會(huì)通過支付寶賬號(hào)直接扣費(fèi)，支付過程不需要用戶輸入支付密碼，因此，從理論上來說，只要優(yōu)步賬號(hào)和密碼被盜，對(duì)方就可以不費(fèi)周折地使用其支付寶付車費(fèi)，而這竟然也成了一種“商機(jī)”。

­　　記者在淘寶網(wǎng)上搜索“優(yōu)步代叫”的商品，發(fā)現(xiàn)有不少商家都提供此類服務(wù)，而同時(shí)，他們也售賣優(yōu)步的優(yōu)惠券。如果想要優(yōu)步代叫的服務(wù)，不能通過旺旺進(jìn)行，而是要加賣家的微信。

­　　記者加了一位賣家的微信，該賣家告訴記者，所謂優(yōu)步代叫，就是乘客只要把自己所在的地方、目的地和手機(jī)號(hào)告訴賣家，賣家就會(huì)用他所擁有的優(yōu)步賬號(hào)替乘客叫車，行程結(jié)束后，不需要乘客付錢，賣家會(huì)支付錢，而乘客要支付給賣家的是此前和賣家談好的價(jià)格。記者咨詢了幾個(gè)賣家，在上海，同城的車費(fèi)在40元左右一趟，不限距離，不限人數(shù)。

­　　根據(jù)賣家的解釋，其用來叫車的賬號(hào)都是白號(hào)，并沒有所謂的盜號(hào)。有業(yè)內(nèi)人士告訴記者，很有可能賣家得到了一批優(yōu)步賬號(hào)和密碼，就用這些賬號(hào)叫車，支付則是用這些賬號(hào)綁定的支付寶或信用卡，實(shí)際上，不需要賣家付出什么，而且還可以坐收乘客支付的所謂“車費(fèi)”，這種“代叫”服務(wù)其實(shí)就是“刷單”產(chǎn)業(yè)鏈的一種。

­　　在乘客被盜刷的過程中，有一個(gè)共同的問題是其賬戶密碼會(huì)被修改，要修改優(yōu)步的密碼是不是很容易呢？記者嘗試了一下，登錄優(yōu)步賬戶，在其設(shè)置中可以看到賬戶信息，顯示該賬戶注冊(cè)時(shí)的姓名、手機(jī)號(hào)碼和郵箱，點(diǎn)擊“編輯賬戶”，填寫驗(yàn)證密碼，該密碼即賬戶登錄密碼。接下去，就可以修改郵箱、手機(jī)號(hào)碼了。如果盜號(hào)者把郵箱改成自己的郵箱，其郵箱內(nèi)會(huì)收到確認(rèn)郵件，只要點(diǎn)擊確認(rèn)郵件上的鏈接就算改好郵箱了。優(yōu)步修改密碼方式有兩種，一種是通過郵件，一種是通過手機(jī)號(hào)碼。以通過郵件修改密碼為例，只要點(diǎn)擊通過電子郵件修改密碼，優(yōu)步就會(huì)向賬戶確認(rèn)過的郵箱發(fā)送郵件，打開郵件中的鏈接，就可以重置密碼，原賬戶的密碼可以繞過原來的主人修改成功。在修改賬戶信息和密碼的過程中，原來的郵箱和手機(jī)號(hào)會(huì)收到賬戶信息更改的提醒，但如果用戶沒有留意并加以阻止，很可能就被盜刷。

­　　優(yōu)步相關(guān)人士告訴記者，代叫是一種違法犯罪行為，優(yōu)步會(huì)配合查處。

­　　白帽子黑客稱優(yōu)步客戶端接口存漏洞

­　　乘客沈先生告訴記者，本來覺得自動(dòng)扣款蠻方便的，但現(xiàn)在看來優(yōu)步在支付安全和認(rèn)證方面并沒有做到位。

­　　今年3月，一位白帽子黑客在烏云網(wǎng)上公布了優(yōu)步的漏洞，其標(biāo)題為“Uber優(yōu)步客戶端接口設(shè)計(jì)不當(dāng)可導(dǎo)致撞庫攻擊”。一位不愿透露姓名的烏云網(wǎng)工作人員告訴記者，盜號(hào)過程不算很難，一般黑客，都能操作。在他看來，優(yōu)步采用了免密支付的流程，一個(gè)優(yōu)步賬號(hào)就可以打通這些支付方式，因此優(yōu)步賬號(hào)的價(jià)值和重要度非常高。但是，黑客可以用遍歷手機(jī)號(hào)的方式來猜測(cè)弱密碼存在的可能性，也可以根據(jù)互聯(lián)網(wǎng)已經(jīng)泄露的用戶信息進(jìn)行“撞庫”。“所謂遍歷手機(jī)號(hào)，就是由于手機(jī)號(hào)碼格式是固定的，理論上可以用數(shù)字窮舉把所有的可能性都嘗試一遍，而且光用123456這樣的密碼就能猜出很多賬號(hào)，這樣的探測(cè)流程可以用程序自動(dòng)化實(shí)現(xiàn)。”這位工作人員解釋說。

­　　這位工作人員告訴記者，白帽子用技術(shù)手段在優(yōu)步客戶端分析得知，優(yōu)步的客戶端的https證書未做校驗(yàn)，攻擊者可以偽造證書利用優(yōu)步的登錄接口進(jìn)行嘗試。而且優(yōu)步的賬號(hào)可以在多臺(tái)設(shè)備登錄，登錄錯(cuò)誤次數(shù)也沒有限制，可以一直嘗試下去。此外，優(yōu)步接口中有一個(gè)可以通過姓名和手機(jī)號(hào)碼查詢用戶的功能，這個(gè)也沒有做驗(yàn)證，白帽子可以批量猜解用戶手機(jī)是否注冊(cè)了優(yōu)步。對(duì)于這些問題，烏云平臺(tái)表示目前并未收到優(yōu)步的反饋，“如果在支付時(shí)能設(shè)一道防線，這種盜刷的現(xiàn)象會(huì)好很多。”

­　　記者在采訪中發(fā)現(xiàn)，很多用戶被盜刷后想解綁支付寶、想聯(lián)系人工客服，都未能很快找到解決方法。記者也沒有在優(yōu)步客戶端找到解綁支付寶的方法，要通過支付寶客戶端-我的-設(shè)置-安全設(shè)置-安全中心-賬戶授權(quán)管理，才能解綁支付寶。

­　　關(guān)于人工客服，優(yōu)步相關(guān)人士告訴記者，目前開通了4008196582這個(gè)號(hào)碼，但主要解決賬戶安全問題。