黑客對 Uber 使出「水土不服」技能，用戶錢包受到10000點傷害

雷鋒網按：本文作者烏云創始人fenggou。雷鋒網所發烏云文章均獲作者授權，轉載請務必標明來源和作者，不得修改內容。

小時候看科幻故事，作者都喜歡把火星視為脾氣暴躁的鄰居，一言不合就要玩轉地球。但每當地球將被推倒的關鍵時刻，火星人竟然批量撲街，原因是水土不服被地球細菌感染，最終場面變成人民群眾哄搶散落在地上的八爪魚溫馨結尾。這些套路給我留下深刻印象，特別是那些因「水土不服」導致意想不到的轉折更加令人著迷。

正文開始前先看一則近期非常火熱的安全事件。

Facebook 是因各種打不開而聞名國內的社交網站，其 CEO 馬克·扎克伯格是一位互聯網傳奇人物，倍受黑客關注：）一名為 “OurMine Team” 的 Twitter 賬號 at 小扎稱他們做了個安全測試，成功搞到了他的 Twitter 等賬號密碼，要求私信長夜漫漫聊～ 小扎回復：拉倒吧你們才沒拿到，邊兒涼快去… 然后 “OurMine Team” 憤怒了，直接登錄了小扎的賬號進行插旗行為：哼，我們在 Linkedin 的數據庫中找到了你的常用密碼 “dadada” ！

Twitter 立刻進行了 VIP 洗地服務，這都是后話（整個事件總有種事先安排的趕腳）。黑客利用人們多處使用相同密碼的習慣，用 “dadada” 在各種網站嘗試登錄小扎的賬號，結果就是這是這位大名鼎鼎的 CEO 也栽在這坑里，國內用戶紛紛表示慰問 -_-

說到密碼，在國內就是個杯具。初期明文存儲密碼（好點的也就是簡單 hash 處理），這龐大的基數、經濟價值的云端遷移、大量愿為黑產付費的需求方，共同造就了國內 “脫/撞庫” 火熱的現狀。讓數據既有商品、也有了創收工具的形態，令黑產對數據趨之若鶩。另大部分海外企業出現數據泄露或安全事故時，會盡可能主動告知用戶影響細節做好應對，而國內企業在發現數據被竊后還處于遮羞避責心態，所以用戶難以意識到自己已經身處風險之中。

扯遠了，聊完 Twitter 再來看看跟我們生活非常貼近的外企影響案例。Uber 進入中國后給烏云君留下深刻影響的并不是簡潔的 UI ，優質的服務，而是那令人擔憂的扣款方式（目前滴滴也支持免密支付了）。無需用戶進行確認交互，服務完畢司機直接就把錢扣走，將本還有一定限制的支付過程硬生的增加了一個風險等級。黑客不用再攻破復雜的支付限制，只要拿下用戶的 Uber 賬號就可以躲避信用卡與支付業務嚴格的風控機制。

烏云白帽子提交多個 Uber 的安全報告，比如 Uber優步客戶端接口設計不當可導致撞庫攻擊、我是如何嘗試登陸別人的uber的，發現 Uber 缺乏對中國本土的撞庫風氣進行考慮，這也是很多洋企的通病：Twitter推特登陸接口可撞庫 ，導致的后果就如小扎一樣被黑客花樣虐待！因為 Uber 的賬號是手機號碼，所以 Uber 的撞庫以及爆破搞起來簡直如魚得水。

圖為通過手機號遍歷爆破得到的結果，登錄破解成功的 Uber 賬號，可以成功看到他們的歷史出行紀錄，幾乎每天的活動路線都摸索出來了，每天加班好晚。

當然，你會說這又能有啥？不知道一些 Uber 用戶是不是有經歷過自己賬號被莫名消費的情況，實際上黑產早已經摸索出這種體驗非常好的洗錢方式—— Uber 代叫 。他的模式是通過微信或者 QQ 進行線上溝通，你只需支付很低的價格（一般是20～30，隨便坐車），告訴他你在哪，要去哪，和聯系手機號，不一會車就到位，下車啥都不用管拍拍屁股走人。

你應該明白了，其實這個代叫方就是控制了大量 Uber 賬號，通過代叫的方式給 Uber 內的錢洗出來，但不是等價的，正因為乘客能撈這么大便宜，所以代叫服務非常火爆。各種成熟的網店、QQ 群甚至公眾號早已鋪天蓋地。成都商報的記者也曾就 Uber 用戶綁定的支付被盜刷通過自己的方式做過一些多方位的調查解密“Uber 代叫”黑色產業鏈。

國內的 Uber 盜刷情況確實非常糟糕，海外也不見得好到哪兒去。烏云君在 Twitter 上的 #UberAccountHacked 話題中也發現了很多外國網友吐槽賬號被盜刷，在中國消費被跑了好多長長長長途。正因這種產品的國際化基因，導致海外的碎片資源得以成功利用…

目前烏云君已經將這些本土化的安全問題反饋給了 Uber ，企業反饋確認問題存在會盡快修復。太多的事實證明，今后的安全挑戰不在是單純的技術漏洞，對于業務的惡意利用，我們落后黑產不知一點半點。因業務問題的爆發，讓每個用戶都成為專家進行自保是不可能的！用戶將財產與數據交予企業保管，企業應當站在積極與黑產對抗的一方，而不是過于明確的劃分責任。

對于企業，應該在自己的賬戶機制上做些主動的防范考慮，比如：

• 客戶端多次登錄錯誤彈出驗證碼，防止機器登錄嘗試；
  

• 對超出登錄異常閾值的 IP 進行封鎖；
  

• 收緊并盡量統一話碎片登錄入口；

• 給出現異常登錄的賬號足夠的安全提示；

• ……

還可以看看微軟在用戶安全上做出硬氣的態度與手段，下車給微軟司機個五星吧~

微軟禁止用戶使用泄漏密碼庫中的常用密碼

在1.17億LinkedIn用戶密碼泄露之后，微軟宣布它的 Microsoft Account 和Azure AD系統將動態的屏蔽常用密碼。

微軟稱，當有大的密碼庫泄露，它的安全團隊會和安全專家一樣去分析其中最常用的密碼， 然后將常用的密碼加入到它的屏蔽清單中，阻止用戶使用。

Microsoft Account系統已經啟用了這套動態屏蔽系統，Azure AD系統將在未來幾個月啟用。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。