uber密码怎么设置、uber怎么设置两个地址!

专家认为，账户被盗多为盗号分子撞库所得，用户应增加密码复杂度，以防账户被盗受损；“代叫”是利用了Uber软件行程结束自动付款的特点，通过盗取的账号替人叫车，相关参与方，涉嫌构成盗窃罪

法治周末见习记者 罗聪冉

明明正在家里看电视，却收到一条自己刚打完车的扣款信息，显示扣款141.03元，这是什么情况？

近日，家住湖北的Uber用户金女士便遭遇了这样的意外。惊慌之后，她第一时间在支付宝上，取消了与Uber账户的支付绑定，以防更多钱款被扣，随后，她发现自己已无法登录Uber账户。

据了解，在注册Uber账户时，有以下两种方式：授权支付宝账户直接登录，或用邮箱、手机号码进行注册，随后，在百度钱包、银联、支付宝、国际信用卡中，至少添加一种付款方式进行绑定；添加支付方式后，用户在行程结束后，无需输入支付密码，便可自动支付。

而Uber原本以追求为用户带来“像流水一样顺畅”的出行体验为初衷、从而设计的“自动支付”功能，现在却被大量用户和业界人士所诟病：一旦账号被盗，绑定的支付方式就有被不法分子消费的巨大风险。

那么，在“被消费”的背后，究竟隐藏着什么“黑手”？

事件：“自动支付”成隐患

由于Uber是无密自动支付，发现被盗号后，金女士慌忙登录支付宝取消与Uber的绑定，以防止有更大的损失；接着，她向支付宝客服打了求助电话。支付宝客服对其称“会尽快帮用户跟Uber核实，如果确实不是用户自己使用，款项可以退回”。因Uber没有客服电话，金女士只能给官方发邮件反映情况。“幸运的是，次日下午，Uber处理了我的邮件，帮我找回账号，对没有使用的行程费用也做了退款。”

虽然处理结果较为理想，但金女士直言，“不会再使用Uber，因为它只能自动支付，我怕再次被盗”。

新浪微博用户“蹦蹦大人以后要开野马”也发生了类似的一幕，而比金女士稍显幸运的是，“蹦蹦大人以后要开野马”收到了Uber APP发送的接单通知，在该行程还未结束前，已提前将自己的支付宝账号进行解绑、信用卡支付额度设置为1元、银行卡的金额全部转移，从而避免了“被消费”的后果。

“使用Uber至少要绑定一种付款方式，因此，我只能将账户注销，才能解绑我的银行卡。”“蹦蹦大人以后要开野马”称，“我的账户已被泄露，如果银行卡还继续绑定，会一直是个风险”。

游侠安全网创始人张百川向法治周末记者表示，自动支付、无法解绑，已属于相当不安全的设计，建议平台在能设置支付密码的情况下，还是应为用户设立一道保护屏障。

揭秘：暗藏“代叫”黑色产业链

“看淘宝上好多代叫车的，四十元左右全城保底，估计就是盗别人的号挣钱。”金女士向法治周末记者透露。

金女士的话并非无依据。今年5月，来自成都的钟女士发现，其Uber账户被盗号者利用，在上海、深圳两地频繁打车，看到自己账号仍在“打车中”，愤怒之下，她向接单司机拨通了电话，于是，钟女士、司机、“冒名”乘客之间开始了对质。而后其事件被《成都商报》曝光，该司机对外讲述了其中的内幕——“冒名”乘客为了澄清自己并非盗号者，告诉该司机，他是加了一个“专车代叫”的微信用户，向其付过钱后，代叫的人替他叫的车。

6月23日，法治周末记者从淘宝、微信、QQ上搜索，看到都有关于打车代叫的交易，随后，记者以司机身份，与从事代叫的微信用户“A+uber小A”加为好友，看到其朋友圈发布了大量关于“Uber打针”“呼叫代叫车”的消息。

“‘打针’就是在你拉不到客人的时候，我模仿客人叫你车，35元钱一针，你可以跑一百多元钱的行程。”“A+uber小A”告诉记者，无论是哪里的司机，即便国外也可以使用“打针”服务，根据司机规划的路线进行设置，比如，在司机想要回家或外出办事时，都可以来“一针”，“扎不到不收钱”。

“代叫者会让司机通过下线再上线、图标一灭再一亮的过程，来确定该司机的车辆位置，然后，模仿乘客叫车，将乘客的出发地设置到离该司机最近的地方。”一位车牌尾号为E6的Uber专职司机刘师傅向法治周末记者透露其中的门道，因为Uber最开始采用的是就近派单原则，面对高额补贴和成单率的诱惑，“打针”刷单现象一时猖獗。

“不过，后来Uber调整了就近派单，选择第二、第三或更远距离的司机接单后，‘扎针’的难度也就越来越大。”同时，刘师傅表示，这也使得正规开车的司机去接乘客的路程变远、成本增加，“都是这些耍小聪明的人给闹的。”

6月26日上午，记者又以乘客身份向微信用户“A：优步小护士代叫接单”表示想要叫车。代叫规矩是：将自己的“城市、出发地、目的地、手机号”发给对方；其中，100元以内的路程，代叫者收费35元，超过100元车费，按4折收费；司机接到乘客后，乘客向代叫者进行转账；不能跟司机提自己是代叫的。

5分钟后“A：优步小护士代叫接单”给记者发来一张截图，上面显示车牌尾号为99的海师傅已接到记者的单。上车后，记者向司机表示想要看“是哪个账号叫的单”，司机出现些许困惑后，还是向记者展示了自己的司机端界面，上面显示账户名为“Sam”叫的车。

而Sam是谁？也是被盗号的用户吗？因其Uber对个人信息保护的设置，记者在司机端除了看到其打分评级为4.8星外，看不到更多关于Sam的信息。

根据代叫者所发的订单截图显示，法治周末记者发现，其使用了一款叫“逍遥安卓”模拟器的软件。“模拟器的功能，是可以模拟用户的地理位置、也可以多个账号同时进行。”张百川解释。

“代叫是不法分子的一种销赃行为，利用极少数用户贪小便宜的心理，侵害其他用户的财产，也严重损害了被盗号用户对优步平台的信任。”6月25日，中国优步公关部相关负责人表示，优步将对此严厉打击，并通过不断的技术升级提升安全防范措施；同时，也将联手其他互联网合作伙伴共同打击，并呼吁用户拒绝这种侵害他人利益的行为。

探究：盗号多为撞库所得

那么，代叫者又是如何获得用户的账号和密码的？

“最大的可能是撞库。”张百川告诉法治周末记者，黑客通过其他网站得到的账户和密码，依次到Uber的接口去做测试，然后把“试成功”的账号筛选出来，从事“黑产”；而如果Uber设有支付密码功能，被盗刷的几率将会减小。

北京华讯律师事务所主任张韬也认为，撞库得到相关账户密码信息的可能性较大，因其获取成本相对较低；同时，也不排除以下两种可能，一是用户在使用Uber时，数据被木马截获；二是由平台内部泄露或黑客攻击导致平台的信息泄露，但这种可能，一般会被平台及时发现并制止。

今年3月，白帽子黑客“土夫子”曾在乌云网上公布了Uber的漏洞，漏洞标题为“Uber优步客户端接口设计不当可导致撞库攻击”，称其存在设计缺陷或逻辑错误。

6月17日，“差评君”在其微信公众号发布《Uber的一个大漏洞曝光，你的支付宝可能因此被盗刷！》一文，称登录Uber不需要手机验证码、可以多设备同时在线、没有异地登录的提醒、加上Uber被乌云网所曝光的漏洞，一般黑客“神不知鬼不觉”就能完成盗号；而盗号分子为了变现，便衍生出“Uber代叫”的黑色产业链。

“当系统检测到试图在异地或非用户注册设备尝试登录的情况，会第一时间发送风险提示短信以及登录验证码至用户的注册手机；一旦用户发现账户被盗，可立即发邮件至专门处理各种账户问题的客服邮箱。”优步相关负责人表示，会在最短时间内帮助用户找回被盗账户，赔偿非本人用车所造成的损失，确保用户不会有任何经济损失。

张百川也向法治周末记者表示，涉及金钱或绑定支付的网站、APP，用户在设置密码时，应包含大小写字母、数字、特殊符号等字符，增加密码复杂度，从而保护自身安全，以防账户被盗受损。

专家：涉嫌构成盗窃罪

“代叫是利用了Uber软件行程结束自动扣款的特点，通过盗取的账号替人叫车。”西南科技大学法学院副教授廖天虎告诉法治周末记者，如果代叫者实施盗窃他人账户信息或信用卡并使用的，便构成盗窃罪；如果代叫者没有实施窃取行为，而是明知是非法获取的账户数据信息，而予以收购或代为销售的，则构成掩饰、隐瞒犯罪所得罪。

廖天虎进一步指出，由于司机只是通过电话确认坐车者，并到约定地点接送和送达目的地，并不具有核实乘客真实身份的义务，因此，司机在代叫行为中不具有法律责任；但若司机明知是代叫而和代叫者合作，则将和代叫者构成共同犯罪。

“乘客如果明知其代叫服务的账户信息是盗窃所获取而购买的，若数额较大，乘客也构成掩饰、隐瞒犯罪所得罪。但若数额较小，乘客只是贪图小便宜，则只是构成民法上的不当得利，应将获取的不法利益返还给受损害者。”廖天虎解释。

张韬指出，若对代叫行为进行追责，在现实中尚存在难点，代叫产业隐蔽性高，其获取数据的来源也难以掌握，一般由公安机关的网监部门来进行侦查。

“目前，在个人信息方面，受到刑事处罚的案件仍属少数，除非其造成了极其恶劣的影响。”张韬呼吁，国家应尽快出台个人信息保护法，从立法、执法和司法的层面建立个人信息保护制度，严厉打击侵犯个人信息的违法行为。