3月25日消息 烏云近日曝光Uber優(yōu)步高危漏洞，該漏洞導(dǎo)致的撞庫(kù)風(fēng)險(xiǎn)可令大量賬號(hào)被盜刷，用戶資金朝不保夕。

此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用 戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失，本次再度曝出安全漏 洞，說(shuō)明這家標(biāo)榜技術(shù)的美國(guó)公司卻對(duì)如何保障中國(guó)用戶的財(cái)產(chǎn)安全無(wú)能為力。

根據(jù)烏云上曝光的信息，該漏洞標(biāo)題為“Uber優(yōu)步撞庫(kù)攻擊”，漏洞類型屬于設(shè)計(jì)錯(cuò)誤或邏輯缺陷。3月23日，該漏洞細(xì)節(jié)已通知廠商并且等待廠商處理中，不過(guò)截止目前，針對(duì)這一漏洞廠商暫無(wú)任何回應(yīng)。

該漏洞意味著Uber很容易遭到黑客的撞庫(kù)攻擊，一旦用戶的Uber賬號(hào)被盜，由于大多數(shù)用戶的支付寶和銀聯(lián)卡都默認(rèn)開(kāi)啟小額支付免密碼的功能，所以黑客可以從容不迫地刷走賬戶里的每一分錢。

而這樣的事情正在頻頻發(fā)生。一位網(wǎng)友在知乎上吐槽稱：“下午16：30到17：00接到三個(gè)司機(jī)的電話，說(shuō)我叫了uber，我一陣納悶已經(jīng)卸載了很久了，而且從來(lái)沒(méi)有叫過(guò)車。結(jié)果晚上6點(diǎn)之后直接顯示成功支付寶扣款160！”

另一位知乎網(wǎng)友則表示：“當(dāng)時(shí)在家看電影，突然uber推送消息說(shuō)我叫的梅賽德斯已到達(dá)上車地點(diǎn)，我打開(kāi)uber發(fā)現(xiàn)是未登錄，當(dāng)時(shí)急著看電影，沒(méi)想那么多，還想著uber為了讓我打開(kāi)app給我推送的。過(guò)了半個(gè)小時(shí)左右，支付寶發(fā)來(lái)消息說(shuō)扣款成功164！”

據(jù)了解，黑客撞庫(kù)攻擊是利用其他平臺(tái)泄露的用戶密碼信息，來(lái)對(duì)目標(biāo)平臺(tái)進(jìn)行測(cè)試。大多數(shù)用戶的習(xí)慣是在多個(gè)平臺(tái)使用相同的密碼，這使得黑客可以有很大的幾率撞庫(kù)成功。舉例來(lái)說(shuō)，黑客根據(jù)自己手中掌握的網(wǎng)易郵箱用戶信息，可能會(huì)順利登陸一批Uber用戶的APP。

而之所以Uber優(yōu)步有巨大的撞庫(kù)風(fēng)險(xiǎn)，是因?yàn)檠赜昧嗣绹?guó)APP的設(shè)計(jì)習(xí)慣，用戶在登陸時(shí)不需要手機(jī)驗(yàn)證碼，而這恰恰是可以攔截黑客的重要一步。

更令人不安的是，用戶很難解除支付寶或者銀行卡和Uber之間的綁定。知乎上一位受害者稱：“打電話給中信銀行，結(jié)果前戲太多根本聯(lián)系不上客服，趕 緊打電話給支付寶，還好支付寶是民企，給我解綁了優(yōu)步。這個(gè)錢我是不指望拿回來(lái)了，不過(guò)真的要討個(gè)說(shuō)法，一個(gè)免密支付的東西，竟然這么容易被盜，讓人一點(diǎn) 安全感都沒(méi)有！而且你上他軟件解綁，還不讓你解綁！”

安全專家認(rèn)為，由于Uber登錄設(shè)計(jì)不需要驗(yàn)證碼，導(dǎo)致被黑客撞庫(kù)攻擊的風(fēng)險(xiǎn)極高，建議用戶一旦發(fā)現(xiàn)被盜刷，第一時(shí)間凍結(jié)支付方式，然后解除和Uber的綁定，最后才是向Uber尋求解決扣款問(wèn)題。