近期，美国打车平台优步（Uber）在广州、北京等地被曝出账户盗刷、甚至被黑色产业链拿来公开叫卖的负面事件。随后，优步公司回应称，非常重视少数用户近期向优步客服反映的“账户被盗”问题，将持续通过技术升级来巩固平台的安全，并建议用户主动提高密码强度，不使用简单或者与其他平台重复的密码。

不过，有专家和行内人士对记者说，优步的账户验证、支付以及客服沟通等诸多流程都与国内不接轨，难以被中国用户所理解，这些安全隐患说明优步还不熟悉国内的商业环境。

问题一：验证方式单一 账户密码太容易被盗

猎豹安全专家李铁军对记者说：当前互联网账户被盗的情况确实很多，常有关于优步系统被入侵和数据泄露的传言。这些网络交易普遍存在一个主要风险：撞库攻击（注：黑客将得到的已泄露数据在其他网站上进行尝试登录，因为很多用户喜欢使用统一的用户名密码）。如国内第一大邮箱此前被曝“拖库”，造成邮箱被盗的用户非常多。

类似优步的诸多网络账户被盗事件都与“撞库”有关。前段时间爆发的中国苹果手机大量被锁定勒索事件、12306用户信息泄露事件就是例证。李铁军说，估计黑色产业链偷盗这些账号后非法出售，甚至滋生了网上“优步代叫”生意，导致一部分人买别人的账号来坐车，真正用户利益受损。

记者随后与优步公司联系，该公司回应称：据我们了解，发生被他人盗号现象的账号通常具有同一特征：在多个互联网平台使用同一个账名和密码，且密码较为简单。该公司否认了系统 洞被攻击的可能。

也有用户对此质疑，绑定的手机和信箱同时被修改，一般来说，手机与信箱互为安全底线，同时被修改意味着安全底线的消失、彻底的不安全。而且用户手机、信箱同时被修改以后，通过之前的信箱账户居然仍旧能登录。

“拖库”事件发生后，各大互联网公司都加强了对账户的安全保护，增加了短信验证码的验证方式，而记者经过验证发现，优步目前并不支持手机短信和邮箱双重验证。李铁军说，这导致优步账户在撞库攻击面前没有抵抗力。

问题二：直接扣费不需确认 眼睁睁看着账户被盗刷

有被盗用户反映，收到银行卡所在银行的提示前一天发生两笔付款，一笔63.86元，另一笔162.75，后查明，都是通过优步客户端支付，而此前，优步客户端已经无法登录，基本相当于用户眼睁睁看着银行卡被盗而无能为力。

国内另一家打车平台内部人士说，用户对优步的使用流程会感觉流畅，因为全流程都不用确认，这是基于国外信任度比较高的环境。而国内公司整个打车支付的流程需要经过更多的步骤， 双方之间最大的一个区别是，国内专车平台要求用户确认付款，而美国优步是直接扣款，前者更符合国内商业环境和用户习惯。

李铁军说，优步是美国互联网公司，美国和中国在银行卡安全方面的政策有巨大差异。尽管优步可以快速退款，这是一种美国式的解决方案，靠保险来解决。

由于优步账户必须捆绑支付账号，中国用户有一个曲线解决办法，先解绑信用卡，关联支付宝，然后登录支付宝，在安全设置中将这个扣款授权删除，就可以避免扣款风险。

问题三：沟通全靠邮件来往 风险提醒和防范不够

除了直接扣款，优步还有多个操作流程被用户吐槽。如其他专车要用手机登录和短信验证，而优步是直接登录，无须任何验证，优步还支持多设备同时登录。另外，优步诸多沟通主要通过邮件往来进行，反馈也不及时。

对于这些安全隐患，较早前已有“白帽子”（公布 洞而不恶意利用的黑客）公开提醒过类似风险，优步并没有改变和提醒用户。如案例中用户提出质疑：短时间内账户在异地和不同设备上进行了登录消费，这是明显的盗刷，为什么平台没有去主动提醒用户和限制消费？