阿法狗和柯潔終于約了,這是人類(lèi)最后的但愿? |
發(fā)布時(shí)間:2014-12-10 文章來(lái)源: 瀏覽次數(shù):3624 |
替這個(gè)司機(jī) 心疼 先跟大家講一個(gè)5毛錢(qián)的故事。。。 晚上放工,用手機(jī)叫了一輛車(chē),很快,一個(gè)師傅接了單,上車(chē)后,健談的差評(píng)君就跟師傅聊成一片。 然后,這位師傅就訴苦了起來(lái):前幾天接到了一個(gè)去火車(chē)站的單子,但是乘客下車(chē)后,卻遲遲沒(méi)有付款,發(fā)短信催付款,沒(méi)人回,打電話(huà)他停機(jī)。。。 差評(píng)君那時(shí)候并沒(méi)有怎么放在心上,認(rèn)為那只是一個(gè)貪便宜的乘客。 投遞之后,為了讓那個(gè)師傅放心,差評(píng)君立馬付款下車(chē)。 所以這真的是一個(gè) 5 毛錢(qián)故事 但是,今天差評(píng)君發(fā)現(xiàn),事情可能沒(méi)有那么簡(jiǎn)樸。。。 正文, 一直以來(lái),優(yōu)步給人的印象實(shí)在蠻好的,恬靜的界面,優(yōu)質(zhì)的叫車(chē)服務(wù),還有那小額免密支付方式。。。 但是。。溘然泛起了這么一條朋友圈動(dòng)靜。。。 這條朋友圈的大概內(nèi)容就是,他的優(yōu)步賬號(hào)被盜刷了,而且,除了凍結(jié)支付寶,一點(diǎn)辦法也沒(méi)有。。。 當(dāng)然,這有可能是個(gè)個(gè)例。 不外進(jìn)一步在網(wǎng)上搜索相關(guān)信息,就顯得不那么天然了。。。 各種被盜刷 這么多人發(fā)生這樣的事。?磥(lái)可能跟平臺(tái)本身有關(guān)。。。 果然,在 3 月 23 日,白帽子黑客 “ 土夫子 ” 在烏云網(wǎng)上宣布了優(yōu)步的漏洞。 漏洞標(biāo)題:Uber 優(yōu)步客戶(hù)端接口設(shè)計(jì)不當(dāng)可導(dǎo)致撞庫(kù)攻擊 大家應(yīng)該知道,注冊(cè)優(yōu)步是用手機(jī)號(hào),登錄優(yōu)步也不需要手機(jī)驗(yàn)證碼的。 而且!優(yōu)步可多設(shè)備同時(shí)在線(xiàn)的。。。 三臺(tái)設(shè)備同時(shí)在線(xiàn) (假如有點(diǎn)開(kāi)圖的差友,會(huì)發(fā)現(xiàn),賬號(hào)名字都叫 “ 君差評(píng) ”) 并且,Uber 居然也沒(méi)有異地登陸的提醒。。 然后再配上剛剛說(shuō)的漏洞,一般黑客,都能神不知鬼不覺(jué)的盜號(hào)了。。 盜號(hào)過(guò)程真的還算不難。。。 首先,設(shè)置一個(gè)固定的 password(密碼) 例如:“ 123456 ”,然后再對(duì)手機(jī)號(hào)碼進(jìn)行一一遍歷。。就是一個(gè)一個(gè)用這個(gè)密碼去嘗嘗嘗。。。 爆破 + 遍歷 + 撞庫(kù) 在返回的數(shù)值 Status 中,200 代表登錄成功,404 為存在用戶(hù),403 為不存在用戶(hù)。 (好家伙,獲得三個(gè)可成功登錄的賬號(hào)。) 差評(píng)君隨便找一個(gè)他們曝光的賬號(hào)試一下,尼瑪,到現(xiàn)在還能正常登錄。。。 留意觀(guān)察,上圖有 “ 歡行杭州 ”,恩,恰是差評(píng)君在杭州的無(wú)惡意測(cè)試,而實(shí)際,該賬號(hào)主人八成是北京的。 由于還看到了他的行程。。。 他的行程 (他最后一次的打車(chē)時(shí)間是在 4 月 22 日都被查看的一清二楚。。而當(dāng)事人應(yīng)該依舊毫無(wú)察覺(jué)。。。) 而且, 3 月 25 日,廠(chǎng)商就確認(rèn)該漏洞,但最新?tīng)顟B(tài)是暫無(wú),可以理解為,置之不理了吧。。。 關(guān)于漏洞,就先說(shuō)到這吧,反正也不是什么高深莫測(cè)的方法。 假如優(yōu)步當(dāng)真對(duì)待這個(gè)情況,分分鐘就能修復(fù)好了。。。 那么題目來(lái)了,黑客都愛(ài)宅家里的,又不怎么用 Uber,盜了干嘛呢? 實(shí)在,盜號(hào)分子為了變現(xiàn),早就衍生出一條玄色工業(yè)鏈 —— 優(yōu)步代叫。 (看到?jīng)]有,不限間隔,隨叫隨到,通通 25 元。。。) 在 QQ 上,也有大量的優(yōu)步代叫服務(wù)群。。。 既然這么公然,那就隨便找一個(gè)人問(wèn)下好了。。。 唉,差評(píng)君這周已經(jīng)做了好幾回的臥底了。 為了掩人線(xiàn)人,這周頭像也換的飛起。 也真的是絕不避諱。。他的朋友圈里也全是這樣的信息。。。 (可憐無(wú)邪可愛(ài)的民國(guó)表情包,被拿來(lái)做這么喪心病狂的事。。) 當(dāng)然,天下烏鴉一般黑,這種事情在滴滴里也是有的。。。 (代叫滴滴快車(chē),10公里5元。) 而且有些叫車(chē)賬號(hào)里并沒(méi)有那么多錢(qián),所以,就會(huì)泛起文章開(kāi)頭那個(gè)司機(jī)師傅講的那個(gè)情況,無(wú)人付款,無(wú)人應(yīng)答。。。 而這些不法分子,就是通過(guò)這個(gè)手段,把盜來(lái)的賬號(hào)變現(xiàn)的。 雖熱對(duì)你來(lái)說(shuō),占點(diǎn)小便宜,可能真特么是件好事。。。但,有知己的你,請(qǐng)千萬(wàn)不要這么做。 這些代叫服務(wù)提供者,把握了大量的優(yōu)步賬號(hào),還有作案工具。 “ 并且明天開(kāi)始提供高質(zhì)量服務(wù)!” 呵呵,where are your face 。。。 再來(lái)具體的看一下這個(gè)叫車(chē)流程 。。。 叫車(chē)流程 也就是說(shuō),他利用一個(gè)盜取的賬號(hào)幫你叫車(chē),無(wú)論路程多遠(yuǎn),你只需要暗里給他 30 元,就可以拍拍屁股走人了。。而實(shí)際打車(chē)用度,就由那些被盜號(hào)的人承擔(dān)了。。。 上圖還特么宣傳了可以教你,這樣的技術(shù): 另出技術(shù),需要的詳聊,觀(guān)望,注定無(wú)法賺錢(qián)。 好東西應(yīng)該大家分享,即日起,凡是推薦一名朋友加我微信找我代叫車(chē)成功的,立發(fā) 10 元紅包,有錢(qián)率性。 (踏馬的,有錢(qián)還干這種齷齪事??) 害得一大波無(wú)辜者,遭受被盜刷的悲劇。。。 一個(gè)將受害經(jīng)歷反饋給 “ 廈門(mén)日?qǐng)?bào) ” 的被盜人,廖先生說(shuō): 除了支付方式,賬號(hào)里的郵箱、密碼、電話(huà)及賬戶(hù)名字都被更改了,但優(yōu)步卻沒(méi)有實(shí)時(shí)發(fā)送任何提示。 但優(yōu)步竟然沒(méi)有客服電話(huà),他想注銷(xiāo)優(yōu)步,但一旦注銷(xiāo),損失的錢(qián)怎么要?dú)w來(lái)?可假如不注銷(xiāo),萬(wàn)一有人繼承通過(guò)優(yōu)步盜刷自己的錢(qián)怎么辦? 優(yōu)步還要求必需要有一個(gè)付款方式,所以我無(wú)法解綁全部支付方式,解除了支付寶和銀行卡后,還留下了沒(méi)有錢(qián)的百度錢(qián)包。 呵呵,沒(méi)錯(cuò),Uber 直到現(xiàn)在,在海內(nèi)都沒(méi)有一個(gè)客服投訴電話(huà)。。。 唉,心好累,容差評(píng)君抽根煙,再細(xì)說(shuō)。。。 從優(yōu)步漏洞 → 盜號(hào) → 優(yōu)步代叫 → 免密支付 → 盜刷 → 投訴無(wú)門(mén),整一條玄色工業(yè)鏈,行云如流水一般,溜到?jīng)]邊。。。 固然你可以頻繁的更換密碼暫時(shí)脫離他們的控制,但是跟那些利欲熏心的盜號(hào)者來(lái)說(shuō),他們的手段,總會(huì)高你一籌。 而且,因?yàn)槟愕?Uber 必需要有一種付款方式,所以,并不能在 Uber 上等閑的解除綁定。。。 差評(píng)君為了測(cè)試,也入坑了 再回想昨天收到的短信 “ 付款時(shí),無(wú)需輸入支付密碼 ” 這就不是抽根煙壓壓驚就好的了了。。。 當(dāng)然,盡管美國(guó)來(lái)的優(yōu)步,碌碌無(wú)為,實(shí)在早在今年 3 月份,支付寶自己就推出了對(duì)策。。。 在教你們之前,有一件事還要先跟大家說(shuō)清晰,假如你解綁 Uber 成功了的話(huà),你的那個(gè) Uber 賬號(hào)就幾乎廢了。。。 由于你的 Uber 賬號(hào)就會(huì)因此而被封 (詳細(xì)原因應(yīng)該是與 Uber 本身 “ 至少要留有一個(gè)付款方式 ” 的設(shè)定相互沖突吧) 所以各位差友在做下列操縱的時(shí)候要想清晰哦。。。 由于手機(jī)真?zhèn)解綁選項(xiàng)藏的比較深,差評(píng)君就一步一步演示給你們看。。。 首先打開(kāi)手機(jī)真?zhèn)支付寶,在主界面最下面選擇 “ 我的 ” 然后點(diǎn)你自己的頭像。 點(diǎn) “ 設(shè)置 ” 。 進(jìn)去之后點(diǎn) “ 安全設(shè)置 ” 然后點(diǎn) “ 安全中央 ” 再點(diǎn) “ 賬戶(hù)授權(quán)治理 ”。 就泛起了這樣的界面。。之后你想解綁哪個(gè)就解綁哪個(gè)。。。 然后你就會(huì)收到下面這條短信。。。 再見(jiàn),Uber 作為消費(fèi)者,把財(cái)產(chǎn)、個(gè)人數(shù)據(jù)及信任交給了你們,那么請(qǐng)收起你們的傲慢,上下齊心,彌補(bǔ)漏洞,肅清玄色工業(yè)鏈。。。 當(dāng)然,還有個(gè)非常有效的辦法,多來(lái)點(diǎn)優(yōu)惠。。反正你們最近都融了十幾億。。。 |
|