告诉你一个隐秘，你的 Uber 上岸时是不需要手机验证码的。

再告诉你一个隐秘，你的 Uber八成绑定了支付宝/银联卡，在举行小额付款时是不需要提供密码的。

还告诉你一个隐秘，Uber 是可以在多个装备同时上岸的。

纳尼？你以为这些都不是隐秘？然则，把以上三条结合起来，可以得出一个最终隐秘：

若是你的 Uber 账号被盗，黑客可以从容不迫地刷走你账户里的每一分钱。

而这种偷窃方式正在我们身边发生。最近两天，延续有用户在微信朋友圈和百度贴吧反映类似遭遇：

• 莫名收到支付宝的扣款信息，显示自己刚刚通过 Uber 举行了一次支付。

• 自己的 Uber 突然被登出，而且重新登录显示密码错误。

凭据中枪用户的形貌，也许可以还原出黑客的手法：通过非法手段窃取了用户的 UBER 账号，然后在自己的装备上上岸。通过和同伙之间伪造用车的买卖，从而把用户支付宝中的金额转移。由于大多数用户的支付宝和银联卡都默认开启小额支付免密码的功效，以是在付款的时刻不会遇到任何阻碍。

雷锋网编辑凭据这一逻辑举行了测试，发现 Uber 可以在多个装备同时上岸而不掉线。而上岸新装备的时刻，是不需要手机验证码的。也就是说，一旦黑客掌握了用户的密码，就可以畅通无阻地窃取资金了。这不得不说是 Uber 平安管理上的重大疏漏。

那么，Uber 的账户被偷取的可能性事实有多大呢？暂且不说 Uber内部对于密码数据的珍爱事情若何，单单从黑客和黑产的角度来看，就可以通过多种方式获得用户的密码信息，例如：“撞库”。所谓撞库就是黑客行使其他平台泄露的用户密码信息，来对目的平台举行测试。大多数用户的习惯是在多个平台使用相同的密码，这就造成了黑客可以有很大的几率撞库乐成。举例来说，黑客凭据自己手中掌握的网易邮箱用户信息，可能会顺遂上岸一批 Uber 用户的App。

意识到自己的 Uber 账户云云不平安，雷锋网(民众号：雷锋网)编辑实验更改上岸密码。然而记者发现，在手机端 App 上，是没有密码修改这一选项的，必须登录网页才可以举行修改密码操作。而同样让人不安的是，在电脑端修改密码时，仅仅需要提供旧密码就可以了。这种简朴的平安模式也恰恰注释了为什么有用户的密码突然被别人修改。

面临云云懦弱的平安形势，记者决议解绑自己的支付宝，然而让人吐血的事情又发生了： UBER 需要用户至少绑定一种支付方式，以是没有办法排除支付宝和 Uber 的绑定。

现在还不能确定黑客事实是用撞库照样木马的方式窃取用户密码。但若是你不想成为黑客的“提款机”，照样尽快改一下密码吧。顺便说一句，以Uber现在的平安机制，若是黑客通过木马偷取你的密码，那么你无论修改多少次密码，都市被黑客重新获取。在无法解绑的情况下，最保险的方式照样申请暂停自己的支付宝。。。