Uber疑似被黑：黑市叫賣帳號 一塊錢一個

　　據(jù)科技網(wǎng)站Motherboard稱，很多有效Uber帳戶的資料公然被放到了網(wǎng)絡黑市上出售，每個帳戶的標價僅為1美元。

　　一位賣家稱，他有數(shù)千個Uber帳戶的資料。

　　只要獲得了用戶名和密碼就能訪問用戶的旅行記錄，其中還包括一些個人詳細資料比如家庭住址。雖然不能通過這些用戶名和密碼得到用戶全部的信用卡信息，但是可以看見用戶信用卡卡號的最后4位和信用卡有效期。

　　在最近剛剛冒出來的黑市網(wǎng)站AlphaBay上面，一位名叫庫瓦西耶（Courvoisier）的賣家擺出了一系列“x1 Uber帳戶——全球計程車！”的商品。只要花1美元，任何人都能匿名買到一個Uber帳戶的用戶名和密碼。

　　另一位化名為“ThinkingForward”的賣家也擺出了類似的商品，但是要價為每個Uber帳戶5美元。ThinkingForward在產(chǎn)品介紹中寫道：“我保證這些帳號都是有效的和活躍的。如果購買數(shù)量多，還可享受折扣。”

　　據(jù)庫瓦西耶稱，一旦你購買了Uber帳號，叫車就是輕而易舉的事。

　　他在私信中寫道：“在手機上登錄Uber移動網(wǎng)站就可以叫車了。”

　　Uber公司代表稱，公司尚未發(fā)現(xiàn)遭到黑客入侵的跡象。

　　Motherboard得到了幾個帳號樣品并進行了驗證，至少有部分帳戶是活躍的。帳戶中的數(shù)據(jù)包括客戶們的姓名、用戶名、密碼、信用卡的部分號碼和電話號碼。

　　Motherboard試著聯(lián)系了其中的一名用戶，他的電子郵箱地址和密碼都被放到了黑市網(wǎng)站上出售。這名用戶是技術解決方案公司OISG的銷售總監(jiān)詹姆斯艾倫（James Allan）。

　　艾倫證實Motherboard看到的用戶名和密碼以及他的個人信用卡的有效期信息都是正確的。他已經(jīng)沒有使用Uber了，他最近一次通過Uber服務叫車是2013年12月。

　　在電話中聽到自己的密碼之后，艾倫的直接反應是：“我的媽呀！”他說，聽到自己的帳戶信息被放到黑市網(wǎng)站上出售，他感到大吃一驚。艾倫還說，他很少在互聯(lián)網(wǎng)上進行財務交易，他更喜歡用現(xiàn)金進行交易。

　　艾倫說：“要么是Uber內(nèi)部的一些人把這些隱私信息賣出去了，要么就是他們的安全防衛(wèi)措施太松懈了。我想，這要啟動刑事訴訟才行了，我希望看到這樣的事情發(fā)生。”

　　另一位不愿意透露姓名的Uber用戶也感到異常震驚。他說：“這些信息都被泄露出去了，這太可怕了，這完全是隱私信息的大規(guī)模泄露事故。”

　　目前還不清楚這些數(shù)據(jù)來自哪里，也不清楚泄密的規(guī)模有多大。盡管Uber表示它還沒有發(fā)現(xiàn)黑客入侵的跡象，但是這些帳戶的登錄數(shù)據(jù)或許證明了Uber的安全系統(tǒng)肯定被黑客攻破了。這可能還意味著這些用戶是分別被黑客通過其他手段入侵的，黑客獲得了他們的證書后放到了網(wǎng)上出售。

　　當Motherboard詢問庫瓦西耶他賣的帳戶是從哪里獲得的時，他的回答很簡短：“黑來的。”

　　他補充說：“我有幾千個Uber賬號。”

　　Uber發(fā)言人發(fā)表聲明稱：“我們正在調(diào)查此事，目前無可奉告。我們利用最新的技術來阻止、檢測和調(diào)查欺詐行為。需要指出的是，試圖進行這種形式的欺詐也是非法的；一旦證實這種欺詐行為確實存在，我們將采取適當?shù)拇胧ㄍㄖ嚓P政府部門介入。”

　　這篇文章被發(fā)表出來之后，Uber又發(fā)了一份更新后的聲明：“我們已經(jīng)進行了調(diào)查，沒有發(fā)現(xiàn)入侵的證據(jù)。試圖欺詐性訪問或出售賬號都是非法的，我們已經(jīng)通知了當局相關部門。這是提醒人們的一個好機會，提醒他們使用安全性更高的用戶名和密碼，同時不要在多個網(wǎng)站和服務上重復使用相同的證書。”

　　值得記住的是，出售這些數(shù)據(jù)將造成很多不良的后果，它影響的不僅僅是某一個Uber帳戶。如果某人使用相同的電子郵箱和密碼注冊其他服務比如eBay，頭腦靈活的黑客就可能連帶著把該用戶在其他服務上的帳戶信息也偷走。

　　實際上，艾倫就是這樣做的。他說：“我以前在亞馬遜上使用過相同的密碼。正如我在前面所說的，我并不相信在網(wǎng)絡上使用財務細節(jié)的安全性。”

　　截至本文發(fā)稿，ThingkingForward只賣出了少量帳號。唯一一條評論是由一位欣喜的客戶留下的。

　　與此同時，庫瓦西耶則賣掉了100多個Uber帳號的信息，并且得到了不少好評。

　　上面那位客戶留下的評論信息為：“可用，很完美。”另一位用戶留下的評論的內(nèi)容為：“發(fā)貨快。”

　　這并非Uber首次遭遇數(shù)據(jù)外泄事故。現(xiàn)在已有5萬名司機的詳細個人信息被泄露出去了。Uber說，在2014年9月份，公司的其中一個數(shù)據(jù)庫可能被第三方訪問過。但在那次入侵中，只有司機的姓名和牌照被竊走了。

　　現(xiàn)在爭論的焦點是，據(jù)說Uber將用戶資料數(shù)據(jù)庫的鑰匙掉到了Github網(wǎng)站上任何人都可以公開訪問的某個頁面上。

　　在另一起事故中，Uber不小心將其內(nèi)部失物招領數(shù)據(jù)庫的一部分內(nèi)容公開在開放的互聯(lián)網(wǎng)上。

　　在互聯(lián)網(wǎng)上，人們有可能買到各種各樣的數(shù)字商品，比如信用卡號碼、PayPal帳戶和Uber的帳戶登錄信息，而這些數(shù)字商品的喊價都不貴，單價大概只要幾美元。這是輕松購買失竊數(shù)據(jù)的最新典范。（林靖東）