据科技网站Motherboard称,很多有效Uber帐户的资料公然被放到了网络黑市上出售,每个帐户的标价仅为1美元。
一位卖家称,他有数千个Uber帐户的资料。
只要获得了用户名和密码就能访问用户的旅行记录,其中还包括一些个人详细资料比如家庭住址。虽然不能通过这些用户名和密码得到用户全部的信用卡信息,但是可以看见用户信用卡卡号的最后4位和信用卡有效期。
在最近刚刚冒出来的黑市网站AlphaBay上面,一位名叫库瓦西耶(Courvoisier)的卖家摆出了一系列“x1 Uber帐户——全球计程车!”的商品。只要花1美元,任何人都能匿名买到一个Uber帐户的用户名和密码。
另一位化名为“ThinkingForward”的卖家也摆出了类似的商品,但是要价为每个Uber帐户5美元。ThinkingForward在产品介绍中写道:“我保证这些帐号都是有效的和活跃的。如果购买数量多,还可享受折扣。”
据库瓦西耶称,一旦你购买了Uber帐号,叫车就是轻而易举的事。
他在私信中写道:“在手机上登录Uber移动网站就可以叫车了。”
Uber公司代表称,公司尚未发现遭到黑客入侵的迹象。
Motherboard得到了几个帐号样品并进行了验证,至少有部分帐户是活跃的。帐户中的数据包括客户们的姓名、用户名、密码、信用卡的部分号码和电话号码。
Motherboard试着联系了其中的一名用户,他的电子邮箱地址和密码都被放到了黑市网站上出售。这名用户是技术解决方案公司OISG的销售总监詹姆斯艾伦(James Allan)。
艾伦证实Motherboard看到的用户名和密码以及他的个人信用卡的有效期信息都是正确的。他已经没有使用Uber了,他最近一次通过Uber服务叫车是2013年12月。
在电话中听到自己的密码之后,艾伦的直接反应是:“我的妈呀!”他说,听到自己的帐户信息被放到黑市网站上出售,他感到大吃一惊。艾伦还说,他很少在互联网上进行财务交易,他更喜欢用现金进行交易。
艾伦说:“要么是Uber内部的一些人把这些隐私信息卖出去了,要么就是他们的安全防卫措施太松懈了。我想,这要启动刑事诉讼才行了,我希望看到这样的事情发生。”
另一位不愿意透露姓名的Uber用户也感到异常震惊。他说:“这些信息都被泄露出去了,这太可怕了,这完全是隐私信息的大规模泄露事故。”
目前还不清楚这些数据来自哪里,也不清楚泄密的规模有多大。尽管Uber表示它还没有发现黑客入侵的迹象,但是这些帐户的登录数据或许证明了Uber的安全系统肯定被黑客攻破了。这可能还意味着这些用户是分别被黑客通过其他手段入侵的,黑客获得了他们的证书后放到了网上出售。
当Motherboard询问库瓦西耶他卖的帐户是从哪里获得的时,他的回答很简短:“黑来的。”
他补充说:“我有几千个Uber账号。”
Uber发言人发表声明称:“我们正在调查此事,目前无可奉告。我们利用最新的技术来阻止、检测和调查欺诈行为。需要指出的是,试图进行这种形式的欺诈也是非法的;一旦证实这种欺诈行为确实存在,我们将采取适当的措施,包括通知相关政府部门介入。”
这篇文章被发表出来之后,Uber又发了一份更新后的声明:“我们已经进行了调查,没有发现入侵的证据。试图欺诈性访问或出售账号都是非法的,我们已经通知了当局相关部门。这是提醒人们的一个好机会,提醒他们使用安全性更高的用户名和密码,同时不要在多个网站和服务上重复使用相同的证书。”
值得记住的是,出售这些数据将造成很多不良的后果,它影响的不仅仅是某一个Uber帐户。如果某人使用相同的电子邮箱和密码注册其他服务比如eBay,头脑灵活的黑客就可能连带着把该用户在其他服务上的帐户信息也偷走。
实际上,艾伦就是这样做的。他说:“我以前在亚马逊上使用过相同的密码。正如我在前面所说的,我并不相信在网络上使用财务细节的安全性。”
截至本文发稿,ThingkingForward只卖出了少量帐号。唯一一条评论是由一位欣喜的客户留下的。
与此同时,库瓦西耶则卖掉了100多个Uber帐号的信息,并且得到了不少好评。
上面那位客户留下的评论信息为:“可用,很完美。”另一位用户留下的评论的内容为:“发货快。”
这并非Uber首次遭遇数据外泄事故。现在已有5万名司机的详细个人信息被泄露出去了。Uber说,在2014年9月份,公司的其中一个数据库可能被第三方访问过。但在那次入侵中,只有司机的姓名和牌照被窃走了。
现在争论的焦点是,据说Uber将用户资料数据库的钥匙掉到了Github网站上任何人都可以公开访问的某个页面上。
在另一起事故中,Uber不小心将其内部失物招领数据库的一部分内容公开在开放的互联网上。
在互联网上,人们有可能买到各种各样的数字商品,比如信用卡号码、PayPal帐户和Uber的帐户登录信息,而这些数字商品的喊价都不贵,单价大概只要几美元。这是轻松购买失窃数据的最新典范。