阿法狗和柯洁终于约了，这是人类最后的但愿？

替这个司机

心疼

先跟大家讲一个5毛钱的故事。。。

晚上放工，用手机叫了一辆车，很快，一个师傅接了单，上车后，健谈的差评君就跟师傅聊成一片。

然后，这位师傅就诉苦了起来：前几天接到了一个去火车站的单子，但是乘客下车后，却迟迟没有付款，发短信催付款，没人回，打电话他停机。。。

差评君那时候并没有怎么放在心上，认为那只是一个贪便宜的乘客。

投递之后，为了让那个师傅放心，差评君立马付款下车。

所以这真的是一个 5 毛钱故事

但是，今天差评君发现，事情可能没有那么简朴。。。

正文，

一直以来，优步给人的印象实在蛮好的，恬静的界面，优质的叫车服务，还有那小额免密支付方式。。。

但是。。溘然泛起了这么一条朋友圈动静。。。

这条朋友圈的大概内容就是，他的优步账号被盗刷了，而且，除了冻结支付宝，一点办法也没有。。。

当然，这有可能是个个例。

不外进一步在网上搜索相关信息，就显得不那么天然了。。。

各种被盗刷

这么多人发生这样的事。。看来可能跟平台本身有关。。。

果然，在 3 月 23 日，白帽子黑客 “ 土夫子 ” 在乌云网上宣布了优步的漏洞。

漏洞标题：Uber 优步客户端接口设计不当可导致撞库攻击

大家应该知道，注册优步是用手机号，登录优步也不需要手机验证码的。

而且！优步可多设备同时在线的。。。

三台设备同时在线

（假如有点开图的差友，会发现，账号名字都叫 “ 君差评 ”）

并且，Uber 居然也没有异地登陆的提醒。。

然后再配上刚刚说的漏洞，一般黑客，都能神不知鬼不觉的盗号了。。

盗号过程真的还算不难。。。

首先，设置一个固定的 password（密码） 例如：“ 123456 ”，然后再对手机号码进行一一遍历。。就是一个一个用这个密码去尝尝尝。。。

爆破 + 遍历 + 撞库

在返回的数值 Status 中，200 代表登录成功，404 为存在用户，403 为不存在用户。

（好家伙，获得三个可成功登录的账号。）

差评君随便找一个他们曝光的账号试一下，尼玛，到现在还能正常登录。。。

留意观察，上图有 “ 欢行杭州 ”，恩，恰是差评君在杭州的无恶意测试，而实际，该账号主人八成是北京的。

由于还看到了他的行程。。。

他的行程

（他最后一次的打车时间是在 4 月 22 日都被查看的一清二楚。。而当事人应该依旧毫无察觉。。。）

而且， 3 月 25 日，厂商就确认该漏洞，但最新状态是暂无，可以理解为，置之不理了吧。。。

关于漏洞，就先说到这吧，反正也不是什么高深莫测的方法。

假如优步当真对待这个情况，分分钟就能修复好了。。。

那么题目来了，黑客都爱宅家里的，又不怎么用 Uber，盗了干嘛呢？

实在，盗号分子为了变现，早就衍生出一条玄色工业链 —— 优步代叫。

（看到没有，不限间隔，随叫随到，通通 25 元。。。）

在 QQ 上，也有大量的优步代叫服务群。。。

既然这么公然，那就随便找一个人问下好了。。。

唉，差评君这周已经做了好几回的卧底了。

为了掩人线人，这周头像也换的飞起。

也真的是绝不避讳。。他的朋友圈里也全是这样的信息。。。

（可怜无邪可爱的民国表情包，被拿来做这么丧心病狂的事。。）

当然，天下乌鸦一般黑，这种事情在滴滴里也是有的。。。

（代叫滴滴快车，10公里5元。）

而且有些叫车账号里并没有那么多钱，所以，就会泛起文章开头那个司机师傅讲的那个情况，无人付款，无人应答。。。

而这些不法分子，就是通过这个手段，把盗来的账号变现的。

虽热对你来说，占点小便宜，可能真特么是件好事。。。但，有知己的你，请千万不要这么做。

这些代叫服务提供者，把握了大量的优步账号，还有作案工具。

“ 并且明天开始提供高质量服务！” 呵呵，where are your face 。。。

再来具体的看一下这个叫车流程 。。。

叫车流程

也就是说，他利用一个盗取的账号帮你叫车，无论路程多远，你只需要暗里给他 30 元，就可以拍拍屁股走人了。。而实际打车用度，就由那些被盗号的人承担了。。。

上图还特么宣传了可以教你，这样的技术：

另出技术，需要的详聊，观望，注定无法赚钱。

好东西应该大家分享，即日起，凡是推荐一名朋友加我微信找我代叫车成功的，立发 10 元红包，有钱率性。

（踏马的，有钱还干这种龌龊事？？）

害得一大波无辜者，遭受被盗刷的悲剧。。。

一个将受害经历反馈给 “ 厦门日报 ” 的被盗人，廖先生说：

除了支付方式，账号里的邮箱、密码、电话及账户名字都被更改了，但优步却没有实时发送任何提示。

但优步竟然没有客服电话，他想注销优步，但一旦注销，损失的钱怎么要归来？可假如不注销，万一有人继承通过优步盗刷自己的钱怎么办？

优步还要求必需要有一个付款方式，所以我无法解绑全部支付方式，解除了支付宝和银行卡后，还留下了没有钱的百度钱包。

呵呵，没错，Uber 直到现在，在海内都没有一个客服投诉电话。。。

唉，心好累，容差评君抽根烟，再细说。。。

从优步漏洞 → 盗号 → 优步代叫 → 免密支付 → 盗刷 → 投诉无门，整一条玄色工业链，行云如流水一般，溜到没边。。。

固然你可以频繁的更换密码暂时脱离他们的控制，但是跟那些利欲熏心的盗号者来说，他们的手段，总会高你一筹。

而且，因为你的 Uber 必需要有一种付款方式，所以，并不能在 Uber 上等闲的解除绑定。。。

差评君为了测试，也入坑了

再回想昨天收到的短信 “ 付款时，无需输入支付密码 ” 这就不是抽根烟压压惊就好的了了。。。

当然，尽管美国来的优步，碌碌无为，实在早在今年 3 月份，支付宝自己就推出了对策。。。

在教你们之前，有一件事还要先跟大家说清晰，假如你解绑 Uber 成功了的话，你的那个 Uber 账号就几乎废了。。。

由于你的 Uber 账号就会因此而被封

（详细原因应该是与 Uber 本身 “ 至少要留有一个付款方式 ” 的设定相互冲突吧）

所以各位差友在做下列操纵的时候要想清晰哦。。。

由于手机真个解绑选项藏的比较深，差评君就一步一步演示给你们看。。。

首先打开手机真个支付宝，在主界面最下面选择 “ 我的 ”

然后点你自己的头像。

点 “ 设置 ” 。

进去之后点 “ 安全设置 ”

然后点 “ 安全中央 ” 再点 “ 账户授权治理 ”。

就泛起了这样的界面。。之后你想解绑哪个就解绑哪个。。。

然后你就会收到下面这条短信。。。

再见，Uber

作为消费者，把财产、个人数据及信任交给了你们，那么请收起你们的傲慢，上下齐心，弥补漏洞，肃清玄色工业链。。。

当然，还有个非常有效的办法，多来点优惠。。反正你们最近都融了十几亿。。。