優步行程單顯示成都市民黎先生15日在武漢打車。

15日凌晨，家住成都的黎先生正在熟睡。可是他沒想到，自己的優步賬戶已經被盜號。早上9點多，自己的賬戶已經出現在千里之外的武漢。由于優步自身默認開啟的免密支付。黎先生趕忙將自己的銀行卡凍結。

對此優步方面回應稱，黎先生的情況可能是由于撞庫。并表示一直在提醒用戶，設置不重復的密碼。不過對于設置二次密碼方面的問題，優步方避而不談。

事件 凌晨2點收到改密郵件

黎先生今年裝上了優步。不過在今年5月10日之后，他選擇了另一更便宜的叫車軟件。然而，已經停用的優步卻像一顆定時炸彈，在一個月后突然“炸了”。

15日早上7點左右，黎先生準備起床時順手拿起了手機，此時的手機上顯示了一封未讀郵件，接收時間為凌晨2點左右。郵件上寫著，黎先生的優步賬戶，包括手機號碼和電子郵件信息已經被更新。郵件還提示，如果本人沒有進行修改，還需點擊一個鏈接。

不過由于睡眼惺忪，加之對鏈接存疑，他并未在意。隨后便出門上班。到了上午9點多，黎先生突然收到一條短信，信用卡也已經預扣了6元多。隨后優步APP也提示，預約的車輛已經到達。然而黎先生發現，自己已經無法用自己的賬戶在優步上登錄。

“自己”在武漢乘車被扣款

眼見自己的信用卡被扣錢，黎先生趕忙將自己銀行卡凍結。隨后想起了早晨的郵件上的鏈接。輸入自己的郵箱后，系統提示將給他發送一條修改密碼的鏈接，但是這樣的鏈接黎先生卻一直沒有收到。

“打車用不了多少錢，但是信用卡隨時被別人用影響我的信用就不得了了。”黎先生告訴記者，由于沒等到優步客服的郵件回復，他幾經輾轉，找到了一個名為“Uber成都”的微博號，才與優步方面取得聯系。“優步的人私信說，我的賬戶今天在武漢坐了一段路。”

下午1點左右，經過優步方面的處理，黎先生告訴記者，目前自己已經能夠登上自己的賬戶。“之前我在網上看到有些人賬號被盜的事情，沒想到真的發生在了自己身上。”隨后，黎先生立馬將自己的優步賬戶刪除。

疑問

為何盜號頻發？優步存漏洞或被撞庫攻擊

事實上，本月成都已有兩位市民優步賬戶被盜。此外，今年廣州、上海等地也都發生了類似事件。頻頻發生的優步用戶賬戶密碼被盜事件，作為廠商的優步是否在保護用戶賬號密碼安全方面也有欠缺呢？

記者在國內著名安全問題反饋及發布平臺烏云網上發現，早在今年3月就已經有作者提交了優步客戶端接口設計漏洞，并指出這一漏洞將可能導致撞庫攻擊。

所謂“撞庫”，是由于很多用戶在不同網站使用的是相同的賬號密碼，因此黑客可以通過獲取用戶在A網站的賬戶從而嘗試登錄B網址。

“優步用戶的賬號密碼發生泄露非常有可能是與撞庫攻擊相關。”獵豹移動安全工程師李鐵軍告訴記者，撞庫攻擊在國內信息安全領域是非常常見的攻擊，不少用 戶對優步賬戶的安全不太在意，而優步本身產品設計的問題使得用戶要將銀行卡和賬戶解綁非常困難，這是導致優步賬戶被盜現象高發的原因。

如何避免盜號？優步尚有多處需要改進

盜號頻發是否與撞庫攻擊導致用戶賬號密碼泄露有關？對此，優步回應稱確與撞庫攻擊相關，并表示。“優步一直通過多種途徑提醒廣大用戶在設置密碼時選擇復 雜且獨特的密碼，避免在多個互聯網平臺使用同樣的賬戶名和密碼。”同時，Uber表示，近日檢測到一些用戶的賬戶存在潛在風險，已啟動特別保護程序。

李鐵軍認為，產品設計上僅僅使用“用戶名+密碼”的驗證方式其實是非常不安全的。優步作為廠商應當對賬號系統安全問題進行升級，加入短信或動態密碼驗證。

烏云網創始人方小航表示，由于國內信息安全漏洞較多，因此用戶賬戶密碼泄露的情況也十分普遍，而優步作為外企，在這方面的經驗可能有所不足。“優步完全 可以從用戶登錄等方面進行一些限制，或是對用戶異地登錄時進行提醒等。另外在行程結束后用戶支付時，再次進行驗證避免直接扣款套現也是廠商可以采取的安全 措施。”方小航說。回應 柳甄：會在安全與便捷中作平衡

記者發現，優步在綁定支付方式時默認的是免密支付，有業內人士認為，正是優步這樣的特性導致這種方式可能會引起黑客的注意，Uber有沒有可能改成選擇密碼支付或免密支付？

對此問題，中國優步高級副總裁柳甄回答說，“我們一直想在便捷和安全、效率方面做一個最好的平衡，有很多人覺得如果下了車什么都不用做，優步就自動結賬 了，這樣的感覺非常流暢。因為連Apple Pay還要指紋支付。我們想在不犧牲用戶便捷和體驗的同時加強安全和風險控制之間尋找一個平衡。”

不過，在最近的兩三個月里，成都投訴優步的案例明顯增多，5、6月間見諸報道的已經超過5起。對此柳甄回應“接到投訴的這個比例沒有增加，只是因為我們的用戶數量猛漲，上了量之后就會讓人感覺投訴增多。”