3月25日消息 烏云近日曝光Uber優(yōu)步高危漏洞，該漏洞導致的撞庫風險可令大量賬號被盜刷，用戶資金朝不保夕。

此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用 戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失此前uber曾出現(xiàn)數(shù)次安全漏洞給用戶造成大量金錢損失，本次再度曝出安全漏 洞，說明這家標榜技術的美國公司卻對如何保障中國用戶的財產(chǎn)安全無能為力。

根據(jù)烏云上曝光的信息，該漏洞標題為“Uber優(yōu)步撞庫攻擊”，漏洞類型屬于設計錯誤或邏輯缺陷。3月23日，該漏洞細節(jié)已通知廠商并且等待廠商處理中，不過截止目前，針對這一漏洞廠商暫無任何回應。

該漏洞意味著Uber很容易遭到黑客的撞庫攻擊，一旦用戶的Uber賬號被盜，由于大多數(shù)用戶的支付寶和銀聯(lián)卡都默認開啟小額支付免密碼的功能，所以黑客可以從容不迫地刷走賬戶里的每一分錢。

而這樣的事情正在頻頻發(fā)生。一位網(wǎng)友在知乎上吐槽稱：“下午16：30到17：00接到三個司機的電話，說我叫了uber，我一陣納悶已經(jīng)卸載了很久了，而且從來沒有叫過車。結(jié)果晚上6點之后直接顯示成功支付寶扣款160！”

另一位知乎網(wǎng)友則表示：“當時在家看電影，突然uber推送消息說我叫的梅賽德斯已到達上車地點，我打開uber發(fā)現(xiàn)是未登錄，當時急著看電影，沒想那么多，還想著uber為了讓我打開app給我推送的。過了半個小時左右，支付寶發(fā)來消息說扣款成功164！”

據(jù)了解，黑客撞庫攻擊是利用其他平臺泄露的用戶密碼信息，來對目標平臺進行測試。大多數(shù)用戶的習慣是在多個平臺使用相同的密碼，這使得黑客可以有很大的幾率撞庫成功。舉例來說，黑客根據(jù)自己手中掌握的網(wǎng)易郵箱用戶信息，可能會順利登陸一批Uber用戶的APP。

而之所以Uber優(yōu)步有巨大的撞庫風險，是因為沿用了美國APP的設計習慣，用戶在登陸時不需要手機驗證碼，而這恰恰是可以攔截黑客的重要一步。

更令人不安的是，用戶很難解除支付寶或者銀行卡和Uber之間的綁定。知乎上一位受害者稱：“打電話給中信銀行，結(jié)果前戲太多根本聯(lián)系不上客服，趕 緊打電話給支付寶，還好支付寶是民企，給我解綁了優(yōu)步。這個錢我是不指望拿回來了，不過真的要討個說法，一個免密支付的東西，竟然這么容易被盜，讓人一點 安全感都沒有！而且你上他軟件解綁，還不讓你解綁！”

安全專家認為，由于Uber登錄設計不需要驗證碼，導致被黑客撞庫攻擊的風險極高，建議用戶一旦發(fā)現(xiàn)被盜刷，第一時間凍結(jié)支付方式，然后解除和Uber的綁定，最后才是向Uber尋求解決扣款問題。