您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
专栏 正文
发私信给神秘的乌云君
发送

1

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

本文作者: 神秘的乌云君 2016-06-12 10:09
导语:黑客不用再攻破复杂的支付限制,只要拿下用户的 Uber 账号就可以躲避信用卡与支付业务严格的风控机制。

雷锋网按:本文作者乌云创始人fenggou。雷锋网所发乌云文章均获作者授权,转载请务必标明来源和作者,不得修改内容。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

小时候看科幻故事,作者都喜欢把火星视为脾气暴躁的邻居,一言不合就要玩转地球。但每当地球将被推倒的关键时刻,火星人竟然批量扑街,原因是水土不服被地球细菌感染,最终场面变成人民群众哄抢散落在地上的八爪鱼温馨结尾。这些套路给我留下深刻印象,特别是那些因「水土不服」导致意想不到的转折更加令人着迷。

正文开始前先看一则近期非常火热的安全事件。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

Facebook 是因各种打不开而闻名国内的社交网站,其 CEO 马克·扎克伯格是一位互联网传奇人物,倍受黑客关注:)一名为 “OurMine Team” 的 Twitter 账号 at 小扎称他们做了个安全测试,成功搞到了他的 Twitter 等账号密码,要求私信长夜漫漫聊~ 小扎回复:拉倒吧你们才没拿到,边儿凉快去… 然后 “OurMine Team” 愤怒了,直接登录了小扎的账号进行插旗行为:哼,我们在 Linkedin 的数据库中找到了你的常用密码 “dadada” !

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

Twitter 立刻进行了 VIP 洗地服务,这都是后话(整个事件总有种事先安排的赶脚)。黑客利用人们多处使用相同密码的习惯,用 “dadada” 在各种网站尝试登录小扎的账号,结果就是这是这位大名鼎鼎的 CEO 也栽在这坑里,国内用户纷纷表示慰问 -_-

说到密码,在国内就是个杯具。初期明文存储密码(好点的也就是简单 hash 处理),这庞大的基数、经济价值的云端迁移、大量愿为黑产付费的需求方,共同造就了国内 “脱/撞库” 火热的现状。让数据既有商品、也有了创收工具的形态,令黑产对数据趋之若鹜。另大部分海外企业出现数据泄露或安全事故时,会尽可能主动告知用户影响细节做好应对,而国内企业在发现数据被窃后还处于遮羞避责心态,所以用户难以意识到自己已经身处风险之中。

扯远了,聊完 Twitter 再来看看跟我们生活非常贴近的外企影响案例。Uber 进入中国后给乌云君留下深刻影响的并不是简洁的 UI ,优质的服务,而是那令人担忧的扣款方式(目前滴滴也支持免密支付了)。无需用户进行确认交互,服务完毕司机直接就把钱扣走,将本还有一定限制的支付过程硬生的增加了一个风险等级。黑客不用再攻破复杂的支付限制,只要拿下用户的 Uber 账号就可以躲避信用卡与支付业务严格的风控机制。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害


乌云白帽子提交多个 Uber 的安全报告,比如 Uber优步客户端接口设计不当可导致撞库攻击、我是如何尝试登陆别人的uber的,发现 Uber 缺乏对中国本土的撞库风气进行考虑,这也是很多洋企的通病:Twitter推特登陆接口可撞库 ,导致的后果就如小扎一样被黑客花样虐待!因为 Uber 的账号是手机号码,所以 Uber 的撞库以及爆破搞起来简直如鱼得水。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

图为通过手机号遍历爆破得到的结果,登录破解成功的 Uber 账号,可以成功看到他们的历史出行纪录,几乎每天的活动路线都摸索出来了,每天加班好晚。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

当然,你会说这又能有啥?不知道一些 Uber 用户是不是有经历过自己账号被莫名消费的情况,实际上黑产早已经摸索出这种体验非常好的洗钱方式—— Uber 代叫 。他的模式是通过微信或者 QQ 进行线上沟通,你只需支付很低的价格(一般是20~30,随便坐车),告诉他你在哪,要去哪,和联系手机号,不一会车就到位,下车啥都不用管拍拍屁股走人。

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

你应该明白了,其实这个代叫方就是控制了大量 Uber 账号,通过代叫的方式给 Uber 内的钱洗出来,但不是等价的,正因为乘客能捞这么大便宜,所以代叫服务非常火爆。各种成熟的网店、QQ 群甚至公众号早已铺天盖地。成都商报的记者也曾就 Uber 用户绑定的支付被盗刷通过自己的方式做过一些多方位的调查解密“Uber 代叫”黑色产业链

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害


国内的 Uber 盗刷情况确实非常糟糕,海外也不见得好到哪儿去。乌云君在 Twitter 上的 #UberAccountHacked 话题中也发现了很多外国网友吐槽账号被盗刷,在中国消费被跑了好多长长长长途。正因这种产品的国际化基因,导致海外的碎片资源得以成功利用…

目前乌云君已经将这些本土化的安全问题反馈给了 Uber ,企业反馈确认问题存在会尽快修复。太多的事实证明,今后的安全挑战不在是单纯的技术漏洞,对于业务的恶意利用,我们落后黑产不知一点半点。因业务问题的爆发,让每个用户都成为专家进行自保是不可能的!用户将财产与数据交予企业保管,企业应当站在积极与黑产对抗的一方,而不是过于明确的划分责任。

对于企业,应该在自己的账户机制上做些主动的防范考虑,比如:

  • 客户端多次登录错误弹出验证码,防止机器登录尝试;

  • 对超出登录异常阈值的 IP 进行封锁;

  • 收紧并尽量统一话碎片登录入口;

  • 给出现异常登录的账号足够的安全提示;

  • ……

还可以看看微软在用户安全上做出硬气的态度与手段,下车给微软司机个五星吧~

微软禁止用户使用泄漏密码库中的常用密码

在1.17亿LinkedIn用户密码泄露之后,微软宣布它的 Microsoft Account 和Azure AD系统将动态的屏蔽常用密码。


微软称,当有大的密码库泄露,它的安全团队会和安全专家一样去分析其中最常用的密码, 然后将常用的密码加入到它的屏蔽清单中,阻止用户使用。


Microsoft Account系统已经启用了这套动态屏蔽系统,Azure AD系统将在未来几个月启用。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

黑客对 Uber 使出「水土不服」技能,用户钱包受到10000点伤害

分享:
相关文章

专栏作者

乌云漏洞报告平台,神秘的乌云君
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说