一次打车引发持续莫名扣款 哈啰顺风车平台被质疑存安全漏洞丨21爆料通
21世纪经济报道见习记者 陈归辞 上海报道
日前,21世纪经济报道“爆料通”平台收到上海市民齐先生爆料,其在哈啰APP上打顺风车,7天内被莫名免密扣除21笔共计3000多元的哈啰车费。
这并非个案。另一名消费者女士沈清(化名)告诉记者,类似的事情也发生在了她母亲的身上。从7月20日到8月18日期间,通过支付宝,她母亲的银行卡和花呗共被扣除80多笔钱,损失金额高达13000多元。
据记者了解,张先生和沈女士均就此相关情况向平台进行反映投诉,并向公安机关报警。不过立案过程并不顺利,张先生在第二次报警后才得以被上海市徐汇派出所受理;沈女士母亲的案件则未被受理。
哈啰方面相关负责人向记者表示,公司最近两个月陆续收到一些用户反映类似情况,哈啰已经主动配合多地警方开展调查。另据记者了解,这些被莫名扣掉的费用目前也尚未退回。
据齐先生讲述,8月15日,他通过“哈啰APP”打顺风车,下单后接到平台司机的电话让其提供验证码,就将哈啰平台发来的验证码告诉该司机。后来则发现乘坐的是另一位司机的车。
当晚,他手动输入支付密码支付了322.3元车费。7天后,齐先生意外地发现,自己的支付宝账单中凭空出现21笔“哈啰车费”。从打车那天到8月21日的7天里,每天凌晨,在短短几分钟内,他都会被平台接连扣取3笔车费。这些车费每笔在120元至200元之间,扣款方式均为免密支付,收款方均显示为“上海哈啰普惠科技有限公司”。
但是,齐先生称他并未开通哈啰顺风车的免密支付功能。
沈女士讲述的其母亲的案例则更为诡异。沈女士的母亲在8月18日发现,自己的支付宝账户里莫名出现了86笔自己未产生过的哈啰车费(其中3笔系统显示“已全额退款”),时间从7月18日起直至她发现的这天,每天发生3笔,总共通过银行卡或花呗扣款了13000多元。她在7月18日曾通过支付宝“哈啰顺风车”应用程序下过哈啰顺风车的订单但取消了订单,在此之前,也正常搭乘过哈啰顺风车,但并未向任何车主提供过验证码或订单号,也未发觉有任何异常。甚至在发生扣款后的7月20日,她也曾正常搭乘过哈啰顺风车。
齐先生和沈女士母亲的这些凭空出现的账单都有同样的规律,即,都是每天凌晨,在短短几分钟内,被平台接连扣取3笔车费。每笔车费都在200元以内。
对于齐先生的这些异常账单,哈啰客服回复称,在齐先生的哈啰平台账号里确实也有这些用车订单。并表示,查询到被扣款的21笔钱进入了同一位顺风车司机的账号里。
诸多疑问指向平台漏洞
除了上述两个案例,记者还发现,在社交平台上也屡见哈啰用户反映了同样情况,即使用哈啰顺风车叫车后被持续莫名扣费。
在平台、金融支付等均受到严格监管的背景下,为何会出现这种现象,漏洞究竟出现在哪里?
哈啰方面回应表示,经初步核实,是乘客向“车主”提供了订单账号和手机解绑验证码,致使账户被盗并产生订单扣款。
按此说法,仅仅只是提供了一个验证码,“车主”就能在哈啰平台上完成平台账号与原手机设备解绑并重新绑定到另一台设备上,还能开通免密支付等一系列理应需要严格认证的流程,这着实很难让受害者信服,仍有诸多问题指向了平台的安全漏洞
第一,一个验证码为何能导致乘客的哈啰账号被“无痕迹”“解绑”?
哈啰称是因为“车主”拿到验证码解绑了原手机,导致乘客账号被盗。但是如果原手机被解绑并被登录到其他设备上,乘客理应得到提示。然而,乘客却能继续正常使用哈啰APP,并没有发现任何账号被盗的痕迹。
此外,平台客户端和后台的信息也对不上。据齐先生,哈啰客服称从后台可以查询到齐先生的账号里确实存在这些异常订单,但是在齐先生的哈啰APP账号中却并没有这些订单的记录。为什么同一个账号在后台端和客户端的信息不一致?
第二,免密支付是如何被开通的?
部分用户称此前并未在平台上开通免密支付,但其支付宝账单显示订单均通过免密支付的方式扣款。
齐先生告诉记者,哈啰客服此前回复他称,这可能是因为齐先生为哈啰单车开通了免密支付,所以导致哈啰顺风车也可以通过免密支付来实现。
但是,在哈啰APP中,哈啰单车与哈啰顺风车的免密支付是分别独立授权的,开通授权均需要在支付平台上输入付款密码。
第三,为何平台系统没有识别出这些明显异常的订单?
如上文所述,这些凭空的扣款账单总在一个时间段内“出没”。从“账号被盗”直至用户察觉问题为止,在这段期间的每一天凌晨23:30至1:00这个时段内,短短几分钟里,便会有3笔200元以内的订单接连完成。
据了解,哈啰顺风车订单并不像一般打车订单一样结合里程和时间来计费,而是根据起点和终点间的距离生成一个一口价来确定价格。因此,“车主”登录用户账号后可以通过自行操作,输入起点和终点、点击已上车和已达到来产生订单款项。但是多笔百元以上的订单扣费相继在几分钟内完成,如此异常的情况平台系统却没能识别与预警,这让用户质疑平台是否履行应有的职能。
21世纪经济报道记者最新了解,截至发稿,张先生的案件已经由警方受理并正在调查,哈啰也在配合调查中。多位受害用户向平台提出的退款要求,平台目前暂未予以同意。
哈啰方面对记者表示,“此事件的所有情况,包括可能潜在的安全漏洞等,目前都处于调查之中。只有等调查结果出来了,我们才能明确平台、用户和诈骗分子分别应承担什么样的责任,并对外告知。”