奇幻城国际官网

官方微信:   
揭秘“代叫”黑色产业链:优步账户自动扣款存
时间:2017-12-22 16:46  编辑:admin
 

  揭秘“代表”黑链:Uber账号自动扣除漏洞

  【IT时代网编辑笔记】汽车服务给人们的出行带来了便捷的体验,出门在外,汽车已成为生活的一部分。但是,也很容易产生新的问题:一旦用户的账号密码被盗用,绑定的支付宝,信用卡等也被暴露。最近,一些Uber用户发现他们的账户被调用没有叫车,而是被指控了,有的网友多次遇到此类情况,现在,在互联网车前不仅是合法性问题,如何确认付款安全没有拖延。 9,南京某互联网公司员工沉先生刚接通手机,收到支付宝通知书,Uber账户的账户已经支付了350元,付款时间是昨天晚上。沉先生很惊讶,因为当时他正在睡觉,根本没有车。沉先生对开通Uber账号怀疑怀疑,想看具体情况,没想到竟然账号不能作为互联网公司的产品经理,沉先生先生eaction是联系客服,但没有找到客户,发现Uber只能写信给Uber官方邮箱,要求立即停止使用他的Uber账户。当天晚上,沉先生没有收到回应,因为担心被再次打电话,沉先生也同时给优步官员发了一封电子邮件,为了避免更大的损失,沉先生想到了各种停止方式具有自动支付功能,最后通过支付宝Uber自动扣款功能关闭。 6月10日,也就是海盗刷后的第三天,沉先生接到了优步客户服务电话。询问情况后,沉先生重新设置了密码,还有一笔350元的被盗刷。当沉先生在互联网上反映自己的经历时,他发现有不少乘客有类似的遭遇。 “我很幸运,很多人不知道如何编写客服电子邮件,损失一直没有得到恢复”。沉先生说。来自杭州的李先生没有沉先生那么幸运。从6月19日下午开始,他的Uber“忙”,从19日下午3点多到20号凌晨10点,Uber帐号被称为7次,其中最贵的票价近200元。一开始,李先生没有注意到贝宝的付款提醒,直到20日上午才发现。 “由于我的账号和密码被盗了,我通过支付宝解开了Uber的付款,我没有想到绑到Uber的美国信用卡多次被盗。现在,李先生已经把这张信用卡冻结了,但是20日发给Uber的邮件迟迟没有回复。努力改变密码敦促生成服务电话用友通常知道用户通常需要注册支付宝账号。驾驶员将用户送至目的地后,Uber系统将直接通过支付宝账户扣除费用,支付过程不需要用户输入支付密码。所以从理论上讲,只要Uber账号和密码是盗版的,对方就可以毫不费力地使用其支付宝的票价,而这竟然成了“商机”。记者在淘宝网上搜索“优步被叫”货物,发现很多商家提供这样的服务,但同时他们还出售优步券。如果想要优步服务打电话,不能通过,而是要加上卖家的微信。记者加了一个卖家微信,卖家告诉记者,所谓的优步打电话,就是那个乘客只要自己的地方,目的地和电话号码告诉卖家,卖家将使用他已经为乘客提供的Uber账号。该车在出行之后,并不要求乘客支付这笔钱,卖家会支付这笔钱,而乘客支付卖家是与卖家协商较早的价格,记者咨询了几家卖家,在上海,这个城市票价在40元一趟,无限距离,人数无限。根据卖家的解释,用来叫车的帐号是一个白色的号码,没有所谓的黑客。有业内人士告诉记者,最有可能卖家已经有多个Uber账号和密码,用这些账号来叫车,付款就是用这些账号绑定支付宝或信用卡,其实不需要卖家付出什么,而且还可以乘搭乘客所谓的“票价”,这种“代”服务实际上是一种“刷”的一种产业链。在被盗客刷过程中,有一个共同的问题,就是它的账号密码会被修改,你想修改密码Uber不是很容易吗?记者试了一下,登录Uber账号,就可以在其设置中看到账号信息,显示账号注册名,电话号码和邮箱,点击“编辑账号”,填写验证密码,密码是账号登录密码。接下来,您可以修改邮箱,电话号码。如果黑客将自己的邮箱更改为自己的邮箱,他的邮箱将收到一封确认邮件,只要点击确认邮件上的链接,即使邮件更好。 Uber以两种方式更改密码,一种是通过邮件,另一种是通过电话号码。以邮件修改密码为例,只需点击电子邮件即可更改密码,优步会确认邮箱到账户发送邮件,打开邮件链接,可以重置密码,原始账户密码可以绕过原来的所有者修改成功。在更改账号信息和密码的过程中,原邮箱和电话号码会收到提醒,说明账号信息的变化,但是如果不注意和防止,用户可能会被盗用。 Uber利益相关人士告诉记者,代表被叫是犯罪,Uber将配合调查。白帽黑客表示,Uber客户端接口漏洞乘客沉先生告诉记者,原本自动扣除相当方便,但现在看来,Uber在支付安全和认证方面没有做一点。今年三月,一位白帽黑客在网上发布了一个关于Uber的bug,名为“Uber Uber客户端界面设计不当,导致碰撞”。不愿透露姓名的乌云网人员告诉记者,黑客入侵的过程并不困难,一般的黑客都可以操作。在他看来,优步使用的是一个免付款流程,优步账户可以通过这些支付方式获得,优步账户的价值和重要性非常高。然而,黑客可以通过遍历电话号码猜测密码弱的可能性,或者根据互联网泄漏的用户信息来“猜中图书馆”。所谓的遍历手机号码,是因为手机号码格式是固定的,理论上可以全部重复尝试所有的可能性,密码可以是123456,这样就可以猜到很多账号,所以检测过程可以用程序自动进行“,工作人员解释道,工作人员告诉记者,在Uber客户端使用技术手段的白帽子分析认为,Uber的客户端https证书没有被验证,攻击者可以伪造证书Uber的登录Uber帐号可以登录多个设备,登录错误次数没有限制,可以随时尝试,另外Uber界面有一个用户名和电话号码可以检查用户的功能,这个还没有做过验证,白帽子可以猜测用户的手机是否在Uber注册,对于这些问题,还没有收到Uber反馈的云平台,“如果支付可以设防线,这个现象对盗版行为会好得多。“记者在采访中发现,很多用户被盗刷了要拆离支付宝,想联系人工客服,未能很快找到解决办法。记者还没有找到在Uber客户端通过支付宝客户端 - 我的 - 设置 - 安全设置 - 安全中心 - 账户管理部门解绑支付宝的方法来解绑支付宝。关于人造客服,Uber相关人士告诉记者,目前这个号码开了4008196582,但主要是为了解决账号安全问题。 [编辑/王俊杰] IT时代网(关注微信公众号ITtime2000,定时推送,互动福利惊喜)全部原创文章版权所有Genesis 100创业投资基金成立于2015年,领导硅谷,专注于TMT的早期项目投资。 LP来自政府,互联网IT,知名媒体公司和个人。创科100多家IT,通讯,互联网,知识产权等创投基金拥有自己独特的视角和丰富的资源。快速的决策,快速的投资是100个基金制造商最显着的特点。翡翠村有一个年轻的花咀,人们只是设定了一个目标,谁说呢一定要做啊。支持董小姐来自:董明珠:卖5000万块格力手机是目标,不一定要实现 - IT管理员不要告诉我李彦宏是百度老板,老板和公司是不一样的伊琦伊是罗宾莉自己的投资呢。 。 。来自:iQIYI将于2018年上半年召开IPO百度继续持股之后 - 锐利 - IT网络青春村翠花翠每天的信息已经暴露在这个智能时代,没有真正的隐私来自:有没有最安全的产品WIFI WPA2协议漏洞 - 清晰度 - IT时代有没有必要争取年轻的村翠翠什么全屏的战斗,一个手机是她最重要的配置,不要把马车从前:为了全屏和配置成千上万的机器真的需要抢购这个行程时髦吗?锐利 - IT网络