神刀安全网

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

替这个司机

心疼

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

先跟大家讲一个5毛钱的故事。。。

晚上下班,用手机叫了一辆车,很快,一个师傅接了单,上车后,健谈的差评君就跟师傅聊成一片。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

然后,这位师傅就抱怨了起来:前几天接到了一个去火车站的单子,但是乘客下车后,却迟迟没有付款,发短信催付款,没人回,打电话他停机。。。

差评君那时候并没有怎么放在心上,以为那只是一个贪便宜的乘客。

送达之后,为了让那个师傅放心,差评君立马付款下车。

所以这真的是一个 5 毛钱故事

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

但是,今天差评君发现,事情可能没有那么简单。。。

正文,

一直以来,优步给人的印象其实蛮好的,舒适的界面,优质的叫车服务,还有那小额免密支付方式。。。

但是。。突然出现了这么一条朋友圈消息。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

这条朋友圈的大概内容就是,他的优步账号被盗刷了,而且,除了冻结支付宝,一点办法也没有。。。

当然,这有可能是个个例。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

不过进一步在网上搜索相关信息,就显得不那么自然了。。。

各种被盗刷

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

这么多人发生这样的事。。看来可能跟平台本身有关。。。

果然,在 3 月 23 日,白帽子黑客 “ 土夫子 ” 在乌云网上公布了优步的漏洞。

漏洞标题:Uber 优步客户端接口设计不当可导致撞库攻击

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

大家应该知道,注册优步是用手机号,登录优步也不需要手机验证码的。

而且!优步可多设备同时在线的。。。

三台设备同时在线

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(如果有点开图的差友,会发现,账号名字都叫 “ 君差评 ”)

并且,Uber 居然也没有异地登陆的提醒。。

然后再配上刚刚说的漏洞,一般黑客,都能神不知鬼不觉的盗号了。。

盗号过程真的还算不难。。。

首先,设置一个固定的 password(密码) 例如:“ 123456 ”,然后再对手机号码进行逐一遍历。。就是一个一个用这个密码去尝试试。。。

爆破 + 遍历 + 撞库

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

在返回的数值 Status 中,200 代表登录成功,404 为存在用户,403 为不存在用户。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(好家伙,获得三个可成功登录的账号。)

差评君随便找一个他们曝光的账号试一下,尼玛,到现在还能正常登录。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

注意观察,上图有 “ 欢行杭州 ”,恩,正是差评君在杭州的无恶意测试,而实际,该账号主人八成是北京的。

因为还看到了他的行程。。。

他的行程

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(他最后一次的打车时间是在 4 月 22 日都被查看的一清二楚。。而当事人应该依旧毫无察觉。。。)

而且, 3 月 25 日,厂商就确认该漏洞,但最新状态是暂无,可以理解为,置之不理了吧。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

关于漏洞,就先说到这吧,反正也不是什么高深莫测的方法。

如果优步认真对待这个情况,分分钟就能修复好了。。。

那么问题来了,黑客都爱宅家里的,又不怎么用 Uber,盗了干嘛呢?

其实,盗号分子为了变现,早就衍生出一条黑色产业链 —— 优步代叫。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(看到没有,不限距离,随叫随到,通通 25 元。。。)

在 QQ 上,也有大量的优步代叫服务群。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

既然这么公开,那就随便找一个人问下好了。。。

唉,差评君这周已经做了好几次的卧底了。

为了掩人耳目,这周头像也换的飞起。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

也真的是毫不避讳。。他的朋友圈里也全是这样的信息。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(可怜天真可爱的民国表情包,被拿来做这么丧尽天良的事。。)

当然,天下乌鸦一般黑,这种事情在滴滴里也是有的。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(代叫滴滴快车,10公里5元。)

而且有些叫车账号里并没有那么多钱,所以,就会出现文章开头那个司机师傅讲的那个情况,无人付款,无人应答。。。

而这些不法分子,就是通过这个手段,把盗来的账号变现的。

虽热对你来说,占点小便宜,可能真特么是件好事。。。但,有良知的你,请 千万不要这么做。

这些代叫服务提供者,掌握了大量的优步账号,还有作案工具。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

“ 并且明天开始提供高质量服务!” 呵呵,where are your face 。。。

再来详细的看一下这个叫车流程 。。。

叫车流程

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

也就是说,他利用一个盗取的账号帮你叫车,不管路程多远,你只需要私下给他 30 元,就可以拍拍屁股走人了。。而实际打车费用,就由那些被盗号的人承担了。。。

上图还特么宣传了可以教你,这样的技术:

另出技术,需要的详聊,观望,注定无法赚钱。

好东西应该大家分享,即日起,凡是推荐一名朋友加我微信找我代叫车成功的,立发 10 元红包,有钱任性。

(踏马的,有钱还干这种龌龊事??)

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

害得一大波无辜者,遭受被盗刷的悲剧。。。

一个将受害经历反馈给 “ 厦门日报 ” 的被盗人,廖先生说:

除了支付方式,账号里的邮箱、密码、电话及账户名字都被更改了,但优步却没有实时发送任何提示。

但优步竟然没有客服电话,他想注销优步,但一旦注销,损失的钱怎么要回来?可如果不注销,万一有人继续通过优步盗刷自己的钱怎么办?

优步还要求必须要有一个付款方式,所以我无法解绑全部支付方式,解除了支付宝和银行卡后,还留下了没有钱的百度钱包。

呵呵,没错,Uber 直到现在,在国内都没有一个客服投诉电话。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

唉,心好累,容差评君抽根烟,再细说。。。

从优步漏洞 → 盗号 → 优步代叫 → 免密支付 → 盗刷 → 投诉无门,整一条黑色产业链,行云如流水一般,溜到没边。。。

虽然你可以频繁的更换密码暂时脱离他们的控制,但是跟那些利欲熏心的盗号者来说,他们的手段,总会高你一筹。

而且,由于你的 Uber 必须要有一种付款方式,所以,并不能在 Uber 上轻易的解除绑定。。。

差评君为了测试,也入坑了

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

再回想昨天收到的短信 “ 付款时,无需输入支付密码 ” 这就不是抽根烟压压惊就好的了了。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

当然,尽管美国来的优步,无所作为,其实早在今年 3 月份,支付宝自己就推出了对策。。。

在教你们之前,有一件事还要先跟大家说清楚,如果你解绑 Uber 成功了的话,你的那个 Uber 账号就几乎废了。。。

因为你的 Uber 账号就会因此而被封

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

(具体原因应该是与 Uber 本身 “ 至少要留有一个付款方式 ” 的设定相互冲突吧)

所以各位差友在做下列操作的时候要想清楚哦。。。

因为手机端的解绑选项藏的比较深,差评君就一步一步演示给你们看。。。

首先打开手机端的支付宝,在主界面最下面选择 “ 我的 ”

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

然后点你自己的头像。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

点 “ 设置 ” 。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

进去之后点 “ 安全设置 ”

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

然后点 “ 安全中心 ” 再点 “ 账户授权管理 ”。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

就出现了这样的界面。。之后你想解绑哪个就解绑哪个。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

然后你就会收到下面这条短信。。。

再见,Uber

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

作为消费者,把财产、个人数据及信任交给了你们,那么请收起你们的傲慢,上下齐心,弥补漏洞,肃清黑色产业链。。。

Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

当然,还有个非常有效的办法,多来点优惠。。反正你们最近都融了十几亿。。。

差评 :微信公众号,头条签约作者,天天快报原创作者,百度百家作者,网易媒体平台作者,搜狐媒体平台作者,界面媒体平台作者,QQ公众平台作者。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » Uber的一个大漏洞曝光,你的支付宝可能因此被盗刷!

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址