ofo共享单车漏洞缺陷是什么
ofo共享单车漏洞缺陷是什么
乱停乱放、私自开锁,种种问题让共享单车成为“国民素质的照妖镜”。近日,南都记者调查发现,有一批人专门利用共享单车OFO(小黄车)的漏洞,通过倒卖单车密码、违规绑定学生证等方式来牟利。那么,ofo共享单车漏洞缺陷是什么?下面小编整理的ofo共享单车bug揭秘,一起来围观吧。
ofo共享单车漏洞_ofo共享单车系统缺陷_ofo共享单车bug
揭共享单车漏洞:0.3元解锁5元认证学生账户 小黄车“受害”最深
对此,OFO平台回应记者称,他们正在采取一系列措施,以解决这些问题。
支付0.3元就有人帮你解锁
一个逐渐被人知晓的事实是,围绕着OFO共享单车,已滋生多条非法产业链。
4月18日,记者以“单车解锁”为关键词,检索到了17个QQ群,遍布全国多个省份,均宣称可以低价解锁共享单车。随意加入一个,立刻就有不少人围拥上来。“0.3元解锁,5元认证学生账户。”
给昵称为“好孩子”的人打款0.3元、发去小黄车牌车号后,不到1分钟,记者就收到了对方发来的密码。转动车锁到对应位置,小黄车应声而开。
“没有技术含量,就是把车牌号输入我自己的APP,通过正常渠道获取密码。”“好孩子”介绍,他是以学生身份注册为小黄车用户的,骑车只需半价,还免缴押金。
小黄车的收费标准是每小时1元,学生半价也需要0.5元,只收0.3元岂不是亏本?针对这一疑问,“好孩子”告诉记者,拿到小黄车密码后,可以在APP中点击报修,平台就会误以为这辆车已损坏,不再收取费用。“一天最多可以报修15次,相当于有15次免费机会。”
此后,“好孩子”又向记者推销起其他业务。”只要5元,就能帮你认证为学生用户。”
收到红包后,“好孩子”要走了记者的电话号码,在他的手机上登录了记者的账户。“可能要花点时间,我认证通过后会通知你。”随后2小时内,记者不断收到OFO平台发来的短信。“你的信息身份不符合要求,没有通过认证”。几次认证失败后,“好孩子”终于通知记者,他认证成功了。
记者登录APP发现,账户的确已经绑定一个学生证,所在学校为广东某高校。“好孩子”声称,他正是该校学生,绑定的学生证也系他自己所有。
网上存在多个“解锁”交易群。
一人可拥有不同类型的账户
事实上,在这些QQ群里,学生信息已经是公开贩卖的了。即使不是学生,也能够使用他人的身份信息认证为学生用户。
在一个名为“OFO单车师生认证”的QQ群里,管理员“小酒窝”告诉记者,只需6.88元,就能认证为低质量的学生用户,可能1年失效,也可能4年失效。要想永久不失效,则需缴纳9.9元购买高质量的学生信息。
记者了解到,“小酒窝”从属于一个团队,专门经营和小黄车有关的生意。其称,她手上的学生信息都来自团队老板。“老板每天早上给我发几条学生信息,如果当天用完了,还可以再问他要。”
目前,这个团队正招募代理。“小酒窝”告诉记者,代理可以自行接单。“有单子发手机号给我就行,高质量的(学生信息)8元,低质量的6.6元,你给别人卖,多高价格都可以。”
该团队的业务员“紫藤花”称,即使已认证过的社会用户,也可以解除绑定,然后使用他们贩卖的学生信息重新认证为学生用户。这一切仅售价5元。
记者随后亲身体验了一把,在给“紫藤花”发去红包不到3分钟后,原本一个已欠费1元的社会用户就解除了绑定,成了未认证的新用户,还附赠5元优惠券。
对于这一现象,OFO的客服人员表示困惑。“一般一个账户只能认证一次。”该客服称,只有官方工作人员有解绑的权力,“我们不允许一个人拥有多种类型的账户。”
其称,如果一个用户既有社会账户,又有学生账户,将会被OFO平台检测到,并做封禁处理。
“紫藤花”告诉记者,自己并不是OFO的人员,解绑是在一个软件上完成的,软件系团队老板自己开发。而记者拥有的两个手机号,分别被注册为社会账户和学生账户,并未遭到封禁。
漏洞催生不同方式的“薅羊毛”
在另一个名为“摩拜红包攻略小黄秒开”QQ群里,成员“018”向记者兜售他掌握的“破解秘密”,价格同样是5元。收到红包后,“018”告诉记者,他用支付宝的端口来使用小黄车,可以免押金。拿到密码后再立刻点击报修,这样就可以免车费。如此下来,“018”可全程免费骑行。
“018”告诉记者,现在市面上的共享单车,只有小黄车比较容易破解,有多种方法可以免缴押金,又有多种渠道可以免交车费,由此滋生了大量团伙来倒卖小黄车的密码。
“018”解释,之所以会出现低价售卖小黄车密码的生意,是因为小黄车没有定位功能。即使远在天边,也能通过别人发来的车牌号,再凭借自己掌握的学生信息,低价从官方渠道获取密码,高价转卖给别人。“018”向记者透露,大部分小黄车使用的是机械锁,用多了就会变松,只要多摸索就能掌握窍门,多试几次密码就能打开,小孩都做得来。行话里称这种开锁方式为“碰锁”。
“我们用小黄车,都喜欢一按、二碰、三手机。”“018”称,自己每次使用小黄车,首先会按一下车锁,有时上一个用户用完车后不会打乱密码,下一个用户就能顺势骑走。如果密码被打乱,有时又能把锁碰开。如果碰不开,最后才通过官方渠道获取密码。因为一辆车只对应一个密码,记住密码后,还可以把车牌号破坏掉,自己就可以独享这辆车。
“不过,虽然系统没有漏洞可钻,我还是更喜欢用摩拜单车。”“018”介绍说,“现在摩拜推出了红包活动,部分摩拜单车骑行非但不扣费,还能送钱。”
事实上,也有人利用红包活动来谋利。一位用户就在QQ群里传授经验,只要把普通的摩拜单车藏起来,因为长时间无人使用,过几天该车就会自动生成红包。
这种类似“薅羊毛”的行为,使得这批人获得这样一个别称——“羊毛党”。
共享单车暴露出来的漏洞,正吸引越来越多的人来“薅羊毛”。在记者检索到的17个QQ群中,每一个的人数都达到了上限,总成员合计达到4500人。
其中一名“羊毛党”李颜姚(化名)告诉记者,“薅羊毛”仅仅3天,他就有了154元收入。李颜姚是一名高三学生,他计划赚够300元以支付摩拜单车的押金,然后收手不干。
这些“羊毛党”中还隐藏着一些骗子。一名QQ群成员宣称,他可以出售破解软件,可以免费骑车,收费5元。转去5元红包后,该用户却继续索要钱财。“刚刚你不答应,现在涨价了,还要再给5元。”
在另一个QQ群里,还有人打着共享单车的名义,贩卖所谓的“学生信息生成器”。有用户购买后发现,所谓的“学生信息生成器”其实是手机病毒。
频繁曝出漏洞原因何在?
目前,共享单车的竞争愈演愈烈。除了摩拜单车推出的红包活动,小鸣单车也推出了半年免费骑行卡,缴纳199元押金,就可以免费骑行半年,到期后再退回押金。
在这场“街头战争”中,小黄车以数量优势暂时领先。
根据第三方数据研究机构比达咨询发布《2016中国共享单车市场研究报告》,在2016年中国共享单车整体市场份额中,小黄车以51.2%的市场占有率位居行业第一。
3月1日,OFO宣布完成D轮4.5亿美元融资,相当于人民币31亿元。
4月19日,OFO与自行车制造商富士达签署合作协议,每年将获得富士达超过1000万辆的单车产能。
尽管已是行业翘楚,小黄车的漏洞却迟迟得不到修复。记者查询资料发现,从今年1月起,OFO就正式对外发布了其自主研发的第一代智能锁。这是既2014年进入市场以来,小黄车首度更换机械锁。但至目前,市面上投放的小黄车还是以机械锁为主。
谈及为何不及时修复漏洞,“018”提出质疑:“小黄车频繁暴露的漏洞,有没有可能是官方故意泄露出来的?是不是故意利用漏洞来做大平台的数据?”
针对这些问题,OFO平台回应记者称,他们正与学信网沟通合作,打通学生认证信息,以杜绝假认证行为;针对私享密码的行为,OFO取证之后,也会与警方配合,依照相关法律对相关责任人进行处理;针对虚假报修的用户,OFO会利用大数据算法,将其拉入黑名单,不再为其提供服务。
OFO平台透露,除了1月启用的第一代智能锁,他们正研发第二代智能锁,目前正在产能爬坡阶段。
事实上,外界亦有声音质疑在各平台争相“烧钱”的背景下,OFO平台的资金可能不足以支持快速更换新锁,修复漏洞。对此,OFO创始人戴威在4月19日的发布会上表示,OFO已造出300多万辆车,投入成本超过10亿元,但由于在一级市场已获得6.5亿美元投资,资金流仍很充裕。戴威透露,OFO目前每日收入近千万元,收入全部来自分时租赁的租金,明年将实现全面盈利。
非正规渠道用车,出事谁担责?
在倒卖密码和学生账户成风的情况下,另一个值得注意的问题是,全国范围内已发生多起交通事故,均系当事人使用共享单车致死致伤。那么若以不法方式骑车发生事故,责任谁担?
OFO平台告诉记者,小黄车线下为网格化管理,每个指定区域都会配一个运维师傅,负责修车和车辆摆放,这些师傅会统一着装和戴工牌,遇到未成年人骑车会及时劝阻教育,上下学高峰期则会加强对学校周边的巡查。此外,OFO还会在自行车上增加警示贴,提醒12岁以下未成年人不能使用共享单车;同时配合教育部门和交警部门,通过app弹屏和微博微信等,向用户进行宣传教育。
然而,目前在小黄车上广泛使用的机械锁,并不足以阻止孩子们违规用车。此前有媒体报道,一名未满12岁的孩子不到5分钟就打开了机械锁,并拍下视频发到网上。
对此,OFO平台告诉记者,他们已接入多家保险公司,为用户的每一次规范用车买了保险。“如果用户因违规用车发生事故,OFO会第一时间与用户和警方沟通,协助警方进行调查和责任认定。”
不过,北京康达律师事务所的律师杨大飞认为,如果违规私自开锁或虚假报修以逃避车费,一旦发生交通事故,OFO平台在没有过错的情况下不应承担赔偿责任。
权利意识和诚信意识,是共享经济得以充分发展的观念根基,法治文化和诚信文化是共享经济繁荣发展的文化土壤。如果忽视了思想文化的土壤培育,共享经济的发展就会成为沙上建塔,共享单车的单兵推进就会夭折。这才是应对共享单车发展难题最需要直面的问题。
猜你喜欢: