放弃一个旧的手机号码换一个新的似乎是无害的。但对于Lyft客户来说,这可能会让他们的账户暴露给完全陌生的人。
这就是生活在加利福尼亚州的媒体关系专家劳拉·米勒的遭遇。本月早些时候,她发现在400多英里外的拉斯维加斯有两笔信用卡费用。
米勒说:“我认为这是我借记卡上的合法欺诈。”。
但实际上,另一位女士意外地接管了她的旧Lyft帐户。这是因为电话公司回收了米勒在四月份取消的手机号码,为黑客打开了大门。
问题涉及Lyft的登录过程。这款叫车应用程序省去了用户名和密码的麻烦,取而代之的是用智能手机的手机号码注册用户。
然而,该电话号码可以与该帐户保持绑定,即使它改变了用户。米勒最终意识到了这一点,并打电话给Elysia,她现在拥有她的旧手机号码。
Elysia拒绝公布她的姓氏。但她也意识到,她认为是她的Lyft账户出了问题。
马丁威廉姆斯
“我是在7月4日左右得到这个新号码的,”Elysia说。“所以我已经从老朋友那里收到了很多写给她(米勒)的短信。来自Airbnb。”
当Elysia注册Lyft时,她还看到一张预先存在的支付卡已存入该账户。“该应用程序不允许我更改个人资料,”她说。“无法开立新帐户。他们没有选择权。”
Elysia试图用自己的信用卡代替这个账户。然而,当她在拉斯维加斯时,她和Lyft一起乘坐了两次车,两次车都要向米勒的支付卡收费。
Miller和Elysia说他们觉得整个案件令人不安。“现在我希望没有人用我的旧电话号码使用我的旧Lyft帐户,”Elysia说。
然而,Lyft说这样的问题很少见。该公司依赖于“各种信号”,包括第三方来源,Lyft帐户和设备,以验证用户的身份。
Lyft说:“如果用户可能不一样,我们会要求他们验证身份或创建一个新帐户。”。“在极少数情况下,这一过程无法按预期进行,我们利用这些经验教训来改进我们的算法。”
然而,其他出版物还报告了这个问题。黑客新闻的用户也抱怨。
“有一个令人毛骨悚然的家伙带着我的账户在旧金山乘坐LyFT。”写的一年多以前有一个用户。“最棒的是,我无法从该帐户中删除信用卡,因为我不再拥有该电话号码。”
然而,Lyft表示,用户可以通过联系其客户支持来取消账户。
为了防止这一问题的发生,公司应该向客户提供更强有力的服务双因素认证AT&T前首席安全官兼安全咨询公司TAG Cyber的首席执行官爱德华·阿莫罗索(Edward Amoroso)表示,这不仅仅是依靠电话号码来确认用户的身份。
“然而,不幸的是,除非用户决定不再接受这种风险,否则行业可能不会转向改进的验证方法,”他说。
米勒担心打车应用程序没有做更多的工作来解决这个问题。Lyft表示道歉,并声称上周已从她的银行账户退还了费用。米勒说,她终于在周二收到了退款。
“我只是很生气,我想让更多的人知道这件事,”她说。“我认为这是他们安全上的一个相当大的漏洞。”
虽然Lyft已经暂停了Miller的旧账户,但这使得Elysia无法使用出租车服务。
“现在我甚至不能登录到Lyft,”Elysia说。