出門叫專車服務(wù)已經(jīng)成為一種生活現(xiàn)象,，專車給人們的出行帶來便捷體驗(yàn)。但是,，這也產(chǎn)生新的問題,，萬一賬戶和密碼被盜，其所綁定的支付寶,、信用卡也等于“見了天日”,。

近日，一些優(yōu)步用戶發(fā)現(xiàn)其賬號在自己沒叫車的情況下被叫車,，并且被扣款,，有的用戶多次遇到此類情況。現(xiàn)在,，擺在互聯(lián)網(wǎng)專車面前的不僅是合法性問題,，如何確認(rèn)支付安全也刻不容緩。

當(dāng)你躺在床上看到這樣的通知,，是什么心情,？

6月9日早上，南京一家互聯(lián)網(wǎng)公司的職員沈先生剛打開手機(jī),，就收到了支付寶的付款通知,，其優(yōu)步賬戶付款350元，付款時(shí)間是昨天晚上,。對此,，沈先生感到非常詫異，因?yàn)楫?dāng)時(shí)他正在睡覺,，壓根就沒有叫車,。

疑慮重重的沈先生打開優(yōu)步賬戶，想查看下具體情況,，沒想到連賬戶都登錄不了,。作為互聯(lián)網(wǎng)公司的產(chǎn)品經(jīng)理，沈先生第一反應(yīng)就是要聯(lián)系客服,，可是找來找去沒有找到優(yōu)步的客服電話,，只能向優(yōu)步官方寫郵件，要求立即停止他的優(yōu)步賬號使用,。

到了晚上,，沈先生沒有收到回應(yīng)，因?yàn)閾?dān)心再被叫車，沈先生又發(fā)了一封郵件給優(yōu)步官方,，與此同時(shí),，為了避免更大的損失，沈先生想了各種辦法想停用自動(dòng)支付功能,，最后通過支付寶把優(yōu)步自動(dòng)扣款的功能關(guān)掉了,。

6月10日，即盜刷后的第三天,，沈先生接到了優(yōu)步客服的電話,，詢問情況后，讓沈先生重置了密碼,，并且返還了他被盜刷的350元。

當(dāng)沈先生把自己的遭遇在網(wǎng)上反映后,，發(fā)現(xiàn)有類似遭遇的乘客不在少數(shù),。“我算幸運(yùn)的,，很多人根本不知道客服郵件該怎么寫,，損失都沒有挽回?！鄙蛳壬f,。

杭州的李先生沒有沈先生那么幸運(yùn)，從6月19日下午開始,，他的優(yōu)步就“忙個(gè)不?！保瑥?9日下午3點(diǎn)多到20日凌晨短短的十個(gè)小時(shí)內(nèi),，他的優(yōu)步賬戶被叫了7次,，其中最貴的一次車費(fèi)將近200元。一開始,，李先生并沒有注意支付寶的付款提醒消息,，直到20日早上他才發(fā)現(xiàn)?！耙?yàn)橘~戶和密碼被盜了,，我通過支付寶解綁了優(yōu)步支付，沒想到我在優(yōu)步上綁定的一張美國信用卡也被盜刷了幾次,?！爆F(xiàn)在，李先生已經(jīng)把這張信用卡凍結(jié),，可是20日發(fā)給優(yōu)步的郵件卻遲遲沒有得到回音,。

用過優(yōu)步的乘客都知道，用戶注冊后，通常需要綁定支付寶賬號,。通過優(yōu)步叫車,，在司機(jī)將用戶送達(dá)目的地后，優(yōu)步系統(tǒng)會(huì)通過支付寶賬號直接扣費(fèi),，支付過程不需要用戶輸入支付密碼,，因此，從理論上來說,，只要優(yōu)步賬號和密碼被盜,，對方就可以不費(fèi)周折地使用其支付寶付車費(fèi)，而這竟然也成了一種“商機(jī)”,。

記者在淘寶網(wǎng)上搜索“優(yōu)步代叫”的商品,，發(fā)現(xiàn)有不少商家都提供此類服務(wù)，而同時(shí),，他們也售賣優(yōu)步的優(yōu)惠券,。如果想要優(yōu)步代叫的服務(wù)，不能通過旺旺進(jìn)行,，而是要加賣家的微信,。

記者加了一位賣家的微信，該賣家告訴記者,，所謂優(yōu)步代叫,，就是乘客只要把自己所在的地方、目的地和手機(jī)號告訴賣家,，賣家就會(huì)用他所擁有的優(yōu)步賬號替乘客叫車,，行程結(jié)束后，不需要乘客付錢,，賣家會(huì)支付錢,，而乘客要支付給賣家的是此前和賣家談好的價(jià)格。記者咨詢了幾個(gè)賣家,，在上海,，同城的車費(fèi)在40元左右一趟，不限距離,，不限人數(shù),。

根據(jù)賣家的解釋，其用來叫車的賬號都是白號,，并沒有所謂的盜號,。有業(yè)內(nèi)人士告訴記者，很有可能賣家得到了一批優(yōu)步賬號和密碼,，就用這些賬號叫車,，支付則是用這些賬號綁定的支付寶或信用卡,，實(shí)際上，不需要賣家付出什么,，而且還可以坐收乘客支付的所謂“車費(fèi)”,，這種“代叫”服務(wù)其實(shí)就是“刷單”產(chǎn)業(yè)鏈的一種。

在乘客被盜刷的過程中,，有一個(gè)共同的問題是其賬戶密碼會(huì)被修改,，要修改優(yōu)步的密碼是不是很容易呢？記者嘗試了一下,，登錄優(yōu)步賬戶,，在其設(shè)置中可以看到賬戶信息，顯示該賬戶注冊時(shí)的姓名,、手機(jī)號碼和郵箱,，點(diǎn)擊“編輯賬戶”，填寫驗(yàn)證密碼,，該密碼即賬戶登錄密碼,。接下去，就可以修改郵箱,、手機(jī)號碼了。如果盜號者把郵箱改成自己的郵箱,，其郵箱內(nèi)會(huì)收到確認(rèn)郵件,，只要點(diǎn)擊確認(rèn)郵件上的鏈接就算改好郵箱了。優(yōu)步修改密碼方式有兩種,，一種是通過郵件,，一種是通過手機(jī)號碼。以通過郵件修改密碼為例,，只要點(diǎn)擊通過電子郵件修改密碼,，優(yōu)步就會(huì)向賬戶確認(rèn)過的郵箱發(fā)送郵件，打開郵件中的鏈接,，就可以重置密碼,，原賬戶的密碼可以繞過原來的主人修改成功。在修改賬戶信息和密碼的過程中,，原來的郵箱和手機(jī)號會(huì)收到賬戶信息更改的提醒,，但如果用戶沒有留意并加以阻止，很可能就被盜刷,。

優(yōu)步相關(guān)人士告訴記者,，代叫是一種違法犯罪行為，優(yōu)步會(huì)配合查處,。

乘客沈先生告訴記者,，本來覺得自動(dòng)扣款蠻方便的，但現(xiàn)在看來優(yōu)步在支付安全和認(rèn)證方面并沒有做到位。

今年3月,，一位白帽子黑客在烏云網(wǎng)上公布了優(yōu)步的漏洞,，其標(biāo)題為“Uber 優(yōu)步客戶端接口設(shè)計(jì)不當(dāng)可導(dǎo)致撞庫攻擊”。一位不愿透露姓名的烏云網(wǎng)工作人員告訴記者,，盜號過程不算很難,，一般黑客，都能操作,。在他看來,，優(yōu)步采用了免密支付的流程，一個(gè)優(yōu)步賬號就可以打通這些支付方式,，因此優(yōu)步賬號的價(jià)值和重要度非常高,。但是，黑客可以用遍歷手機(jī)號的方式來猜測弱密碼存在的可能性,，也可以根據(jù)互聯(lián)網(wǎng)已經(jīng)泄露的用戶信息進(jìn)行“撞庫”,。“所謂遍歷手機(jī)號,，就是由于手機(jī)號碼格式是固定的,，理論上可以用數(shù)字窮舉把所有的可能性都嘗試一遍，而且光用123456這樣的密碼就能猜出很多賬號,，這樣的探測流程可以用程序自動(dòng)化實(shí)現(xiàn),。”這位工作人員解釋說,。

這位工作人員告訴記者,，白帽子用技術(shù)手段在優(yōu)步客戶端分析得知，優(yōu)步的客戶端的https證書未做校驗(yàn),，攻擊者可以偽造證書利用優(yōu)步的登錄接口進(jìn)行嘗試,。而且優(yōu)步的賬號可以在多臺設(shè)備登錄，登錄錯(cuò)誤次數(shù)也沒有限制,，可以一直嘗試下去,。此外，優(yōu)步接口中有一個(gè)可以通過姓名和手機(jī)號碼查詢用戶的功能,，這個(gè)也沒有做驗(yàn)證,，白帽子可以批量猜解用戶手機(jī)是否注冊了優(yōu)步。對于這些問題,，烏云平臺表示目前并未收到優(yōu)步的反饋,，“如果在支付時(shí)能設(shè)一道防線，這種盜刷的現(xiàn)象會(huì)好很多,?！?/p>

記者在采訪中發(fā)現(xiàn),，很多用戶被盜刷后想解綁支付寶、想聯(lián)系人工客服,，都未能很快找到解決方法,。記者也沒有在優(yōu)步客戶端找到解綁支付寶的方法，要通過支付寶客戶端-我的-設(shè)置-安全設(shè)置-安全中心-賬戶授權(quán)管理,，才能解綁支付寶,。

關(guān)于人工客服，優(yōu)步相關(guān)人士告訴記者,，目前開通了4008196582這個(gè)號碼,，但主要解決賬戶安全問題。