多人有相同遭遇

　　市民林先生也于昨日上午10點被扣款2.7元。林先生當(dāng)時在單位上班，并未外出乘車。行程記錄中也沒有昨日的乘車信息。林先生說，他的同事也遭遇這種情況。

　　林先生在自己的朋友圈和微博分享了遭遇之后，不斷有小伙伴分享了相同遭遇。一位朋友將手機(jī)截屏分享給了林先生。某日，他突然收到了Uber賬號在另一臺設(shè)備登錄的信息。這位小伙伴警惕心比較強(qiáng)，立刻關(guān)閉了百度錢包和Uber的關(guān)聯(lián)，并且解綁了所有銀行卡。因為這位小伙伴經(jīng)營中經(jīng)常用支付寶轉(zhuǎn)賬，而支付寶綁定了多張銀行卡。所以一旦被盜刷，后果不堪設(shè)想。

Uber還沒有回復(fù)

　　陳先生說，Uber是一家沒有客服熱線的公司，無論任何問題，一律用電子郵件寫申請，這不免叫中國消費者有種投訴無門的感覺。另外，當(dāng)安全風(fēng)險大于方便時，免密設(shè)置本身就成為一種漏洞，只是，對于Uber來說，補(bǔ)上支付漏洞是有多難？

　　昨天下午，陳先生給Uber公司發(fā)了郵件，詢問被扣款一事，但一直沒有收到回應(yīng)。

　　隨后，導(dǎo)報記者也給Uber公司的媒體聯(lián)絡(luò)郵箱發(fā)了采訪請求。半個小時后，收到郵件回復(fù)。遺憾的是，這是一篇全英文的郵件，落款是一名叫Kind的公關(guān)人員。郵件中說，由于當(dāng)時是美國當(dāng)?shù)貢r間凌晨3點多，因此無法對此事立即做出回復(fù)。

　　目前，陳先生已經(jīng)向12315投訴，尚未收到回復(fù)。導(dǎo)報也將繼續(xù)關(guān)注此事。

專家說法

軟件工程師：賬號、密碼可能被盜

　　Uber的自動扣款是當(dāng)用戶結(jié)束旅途時無需驗證確認(rèn)，可以直接下車走人，后臺會自動扣款。

　　今年3月，一名黑客寫了一篇標(biāo)題為《Uber　優(yōu)步客戶端接口設(shè)計不當(dāng)可導(dǎo)致撞庫攻擊》的文章，公布了優(yōu)步的漏洞。為此，導(dǎo)報記者采訪了幾名軟件工程師。他們猜測，市民陳先生和林先生等人的遭遇，可能是賬號、密碼被盜。

　　工程師小付是個熱心人，接到導(dǎo)報記者的采訪請求后，他立即對Uber客戶端進(jìn)行研究，迅速發(fā)現(xiàn)了三個比較明顯的安全漏洞。首先，Uber賬號異地或者在別的設(shè)備登錄時不需要手機(jī)驗證碼，這也解釋了黑客在盜號時，原賬戶主人沒有收到提示的原因。其次，Uber在注冊時綁定了支付寶、百度錢包或者關(guān)聯(lián)銀行卡，小額代扣客戶端并不需要確認(rèn)，也不會提醒。這也給黑客的連續(xù)盜刷提供了便捷條件。此外，Uber賬戶支持在多個設(shè)備同時登錄，因此整個盜刷過程不會有任何消息提示用戶。

　　小付說，盜號過程不算很難，一般黑客，都能操作。