乌云曝Uber高危漏洞 撞库风险或致用户资金朝不保夕

【咕噜网报道】 3月25日消息,乌云近日曝光Uber优步高危漏洞，该漏洞导致的撞库风险可令大量账号被盗刷，用户资金朝不保夕。

此前uber曾出现数次安全漏洞给用户造成大量金钱损失此前uber曾出现数次安全漏洞给用户造成大量金钱损失此前uber曾出现数次安全漏洞给用户造成大量金钱损失此前uber曾出现数次安全漏洞给用户造成大量金钱损失此前uber曾出现数次安全漏洞给用户造成大量金钱损失，本次再度曝出安全漏洞，说明这家标榜技术的美国公司却对如何保障中国用户的财产安全无能为力。

根据乌云上曝光的信息，该漏洞标题为“Uber优步撞库攻击”，漏洞类型属于设计错误或逻辑缺陷。3月23日，该漏洞细节已通知厂商并且等待厂商处理中，不过截止目前，针对这一漏洞厂商暂无任何回应。

该漏洞意味着Uber很容易遭到黑客的撞库攻击，一旦用户的Uber账号被盗，由于大多数用户的支付宝和银联卡都默认开启小额支付免密码的功能，所以黑客可以从容不迫地刷走账户里的每一分钱。

而这样的事情正在频频发生。一位网友在知乎上吐槽称：“下午16：30到17：00接到三个司机的电话，说我叫了uber，我一阵纳闷已经卸载了很久了，而且从来没有叫过车。结果晚上6点之后直接显示成功支付宝扣款160！”

另一位知乎网友则表示：“当时在家看电影，突然uber推送消息说我叫的梅赛德斯已到达上车地点，我打开uber发现是未登录，当时急着看电影，没想那么多，还想着uber为了让我打开app给我推送的。过了半个小时左右，支付宝发来消息说扣款成功164！”

据了解，黑客撞库攻击是利用其他平台泄露的用户密码信息，来对目标平台进行测试。大多数用户的习惯是在多个平台使用相同的密码，这使得黑客可以有很大的几率撞库成功。举例来说，黑客根据自己手中掌握的网易邮箱用户信息，可能会顺利登陆一批Uber用户的APP。

而之所以Uber优步有巨大的撞库风险，是因为沿用了美国APP的设计习惯，用户在登陆时不需要手机验证码，而这恰恰是可以拦截黑客的重要一步。

更令人不安的是，用户很难解除支付宝或者银行卡和Uber之间的绑定。知乎上一位受害者称：“打电话给中信银行，结果前戏太多根本联系不上客服，赶紧打电话给支付宝，还好支付宝是民企，给我解绑了优步。这个钱我是不指望拿回来了，不过真的要讨个说法，一个免密支付的东西，竟然这么容易被盗，让人一点安全感都没有！而且你上他软件解绑，还不让你解绑！”

安全专家认为，由于Uber登录设计不需要验证码，导致被黑客撞库攻击的风险极高，建议用户一旦发现被盗刷，第一时间冻结支付方式，然后解除和Uber的绑定，最后才是向Uber寻求解决扣款问题。