3月25日消息 烏云近日曝光Uber優步高危漏洞，該漏洞導致的撞庫風險可令大量賬號被盜刷，用戶資金朝不保夕。

此前uber曾出現數次安全漏洞給用戶造成大量金錢損失此前uber曾出現數次安全漏洞給用戶造成大量金錢損失此前uber曾出現數次安全漏洞給用 戶造成大量金錢損失此前uber曾出現數次安全漏洞給用戶造成大量金錢損失此前uber曾出現數次安全漏洞給用戶造成大量金錢損失，本次再度曝出安全漏 洞，說明這家標榜技術的美國公司卻對如何保障中國用戶的財產安全無能為力。

根據烏云上曝光的信息，該漏洞標題為“Uber優步撞庫攻擊”，漏洞類型屬于設計錯誤或邏輯缺陷。3月23日，該漏洞細節已通知廠商并且等待廠商處理中，不過截止目前，針對這一漏洞廠商暫無任何回應。

該漏洞意味著Uber很容易遭到黑客的撞庫攻擊，一旦用戶的Uber賬號被盜，由于大多數用戶的支付寶和銀聯卡都默認開啟小額支付免密碼的功能，所以黑客可以從容不迫地刷走賬戶里的每一分錢。

而這樣的事情正在頻頻發生。一位網友在知乎上吐槽稱：“下午16：30到17：00接到三個司機的電話，說我叫了uber，我一陣納悶已經卸載了很久了，而且從來沒有叫過車。結果晚上6點之后直接顯示成功支付寶扣款160！”

另一位知乎網友則表示：“當時在家看電影，突然uber推送消息說我叫的梅賽德斯已到達上車地點，我打開uber發現是未登錄，當時急著看電影，沒想那么多，還想著uber為了讓我打開app給我推送的。過了半個小時左右，支付寶發來消息說扣款成功164！”

據了解，黑客撞庫攻擊是利用其他平臺泄露的用戶密碼信息，來對目標平臺進行測試。大多數用戶的習慣是在多個平臺使用相同的密碼，這使得黑客可以有很大的幾率撞庫成功。舉例來說，黑客根據自己手中掌握的網易郵箱用戶信息，可能會順利登陸一批Uber用戶的APP。

而之所以Uber優步有巨大的撞庫風險，是因為沿用了美國APP的設計習慣，用戶在登陸時不需要手機驗證碼，而這恰恰是可以攔截黑客的重要一步。

更令人不安的是，用戶很難解除支付寶或者銀行卡和Uber之間的綁定。知乎上一位受害者稱：“打電話給中信銀行，結果前戲太多根本聯系不上客服，趕 緊打電話給支付寶，還好支付寶是民企，給我解綁了優步。這個錢我是不指望拿回來了，不過真的要討個說法，一個免密支付的東西，竟然這么容易被盜，讓人一點 安全感都沒有！而且你上他軟件解綁，還不讓你解綁！”

安全專家認為，由于Uber登錄設計不需要驗證碼，導致被黑客撞庫攻擊的風險極高，建議用戶一旦發現被盜刷，第一時間凍結支付方式，然后解除和Uber的綁定，最后才是向Uber尋求解決扣款問題。