告訴你一個秘密，你的Uber 登陸時是不需要手機驗證碼的。

再告訴你一個秘密，你的Uber 八成綁定了支付寶/銀聯卡，在進行小額付款時是不需要提供密碼的。

還告訴你一個秘密，Uber 是可以在多個設備同時登陸的。

納尼？你覺得這些都不是秘密？但是，把以上三條結合起來，可以得出一個終極秘密：

如果你的Uber 賬號被盜，黑客可以從容不迫地刷走你賬戶里的每一分錢。

而這種盜竊方式正在我們身邊發(fā)生。最近兩天，連續(xù)有用戶在微信朋友圈和百度貼吧反映類似遭遇：

莫名收到支付寶的扣款信息，顯示自己剛剛通過Uber 進行了一次支付。

自己的Uber 突然被登出，而且重新登錄顯示密碼錯誤。

根據中槍用戶的描述，大概可以還原出黑客的手法：通過非法手段竊取了用戶的UBER 賬號，然后在自己的設備上登陸。通過和同伙之間偽造用車的交易，從而把用戶支付寶中的金額轉移。由于大多數用戶的支付寶和銀聯卡都默認開啟小額支付免密碼 的功能，所以在付款的時候不會遇到任何阻礙。

【用戶吐槽自己Uber 賬號的遭遇】

雷鋒網記者根據這一邏輯進行了測試，發(fā)現Uber 可以在多個設備同時登陸而不掉線。而登陸新設備的時候，是不需要手機驗證碼的。也就是說，一旦黑客掌握了用戶的密碼，就可以暢通無阻地竊取資金了。這不得不說是Uber 安全管理上的重大疏漏。

那么，Uber 的賬戶被盜取的可能性究竟有多大呢？暫且不說Uber 內部對于密碼數據的保護工作如何，單單從黑客和黑產的角度來看，就可以通過多種方法得到用戶的密碼信息，例如：“撞庫”。所謂撞庫就是黑客利用其他平臺泄 露的用戶密碼信息，來對目標平臺進行測試。大多數用戶的習慣是在多個平臺使用相同的密碼，這就造成了黑客可以有很大的幾率撞庫成功。舉例來說，黑客根據自 己手中掌握的網易郵箱用戶信息，可能會順利登陸一批Uber 用戶的App。

【當只綁定了一種支付方式的時候，右上角的編輯按鍵就會消失，用戶無法解綁】

意識到自己的 Uber 賬戶如此不安全，雷鋒網記者嘗試更改登陸密碼。然而記者發(fā)現，在手機端App 上，是沒有密碼修改這一選項的，必須登錄網頁才可以進行修改密碼操作。而同樣讓人不安的是，在電腦端修改密碼時，僅僅需要提供舊密碼就可以了。這種簡單的 安全模式也恰恰解釋了為什么有用戶的密碼突然被別人修改。

面對如此脆弱的安全形勢，記者決定解綁自己的支付寶，然而讓人吐血的事情又發(fā)生了： UBER 需要用戶至少綁定一種支付方式，所以沒有辦法解除支付寶和Uber 的綁定。

目前還不能確定黑客究竟是用撞庫還是木馬的方式竊取用戶密碼。但如果你不想成為黑客的“提款機”，還是盡快改 一下密碼吧。順便說一句，以Uber目前的安全機制，如果黑客通過木馬盜取你的密碼，那么你無論修改多少次密碼，都會被黑客重新獲取。在無法解綁的情況 下，最保險的方式還是申請暫停自己的支付寶。。。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。