一次打車引發持續莫名扣款 哈囉順風車平臺被質疑存安全漏洞丨21爆料通
21世紀經濟報道見習記者 陳歸辭 上海報道
日前,21世紀經濟報道“爆料通”平臺收到上海市民齊先生爆料,其在哈囉APP上打順風車,7天內被莫名免密扣除21筆共計3000多元的哈囉車費。
這並非個案。另一名消費者女士沈清(化名)告訴記者,類似的事情也發生在了她母親的身上。從7月20日到8月18日期間,通過支付寶,她母親的銀行卡和花唄共被扣除80多筆錢,損失金額高達13000多元。
據記者瞭解,張先生和沈女士均就此相關情況向平臺進行反映投訴,並向公安機關報警。不過立案過程並不順利,張先生在第二次報警後才得以被上海市徐匯派出所受理;沈女士母親的案件則未被受理。
哈囉方面相關負責人向記者表示,公司最近兩個月陸續收到一些用戶反映類似情況,哈囉已經主動配合多地警方開展調查。另據記者瞭解,這些被莫名扣掉的費用目前也尚未退回。
據齊先生講述,8月15日,他通過“哈囉APP”打順風車,下單後接到平臺司機的電話讓其提供驗證碼,就將哈囉平臺發來的驗證碼告訴該司機。後來則發現乘坐的是另一位司機的車。
當晚,他手動輸入支付密碼支付了322.3元車費。7天后,齊先生意外地發現,自己的支付寶賬單中憑空出現21筆“哈囉車費”。從打車那天到8月21日的7天裡,每天凌晨,在短短几分鐘內,他都會被平臺接連扣取3筆車費。這些車費每筆在120元至200元之間,扣款方式均爲免密支付,收款方均顯示爲“上海哈囉普惠科技有限公司”。
但是,齊先生稱他並未開通哈囉順風車的免密支付功能。
沈女士講述的其母親的案例則更爲詭異。沈女士的母親在8月18日發現,自己的支付寶賬戶裡莫名出現了86筆自己未產生過的哈囉車費(其中3筆系統顯示“已全額退款”),時間從7月18日起直至她發現的這天,每天發生3筆,總共通過銀行卡或花唄扣款了13000多元。她在7月18日曾通過支付寶“哈囉順風車”應用程序下過哈囉順風車的訂單但取消了訂單,在此之前,也正常搭乘過哈囉順風車,但並未向任何車主提供過驗證碼或訂單號,也未發覺有任何異常。甚至在發生扣款後的7月20日,她也曾正常搭乘過哈囉順風車。
齊先生和沈女士母親的這些憑空出現的賬單都有同樣的規律,即,都是每天凌晨,在短短几分鐘內,被平臺接連扣取3筆車費。每筆車費都在200元以內。
對於齊先生的這些異常賬單,哈囉客服回覆稱,在齊先生的哈囉平臺賬號裡確實也有這些用車訂單。並表示,查詢到被扣款的21筆錢進入了同一位順風車司機的賬號裡。
諸多疑問指向平臺漏洞
除了上述兩個案例,記者還發現,在社交平臺上也屢見哈囉用戶反映了同樣情況,即使用哈囉順風車叫車後被持續莫名扣費。
在平臺、金融支付等均受到嚴格監管的背景下,爲何會出現這種現象,漏洞究竟出現在哪裡?
哈囉方面迴應表示,經初步覈實,是乘客向“車主”提供了訂單賬號和手機解綁驗證碼,致使賬戶被盜併產生訂單扣款。
按此說法,僅僅只是提供了一個驗證碼,“車主”就能在哈囉平臺上完成平臺賬號與原手機設備解綁並重新綁定到另一臺設備上,還能開通免密支付等一系列理應需要嚴格認證的流程,這着實很難讓受害者信服,仍有諸多問題指向了平臺的安全漏洞
第一,一個驗證碼爲何能導致乘客的哈囉賬號被“無痕跡”“解綁”?
哈囉稱是因爲“車主”拿到驗證碼解綁了原手機,導致乘客賬號被盜。但是如果原手機被解綁並被登錄到其他設備上,乘客理應得到提示。然而,乘客卻能繼續正常使用哈囉APP,並沒有發現任何賬號被盜的痕跡。
此外,平臺客戶端和後臺的信息也對不上。據齊先生,哈囉客服稱從後臺可以查詢到齊先生的賬號裡確實存在這些異常訂單,但是在齊先生的哈囉APP賬號中卻並沒有這些訂單的記錄。爲什麼同一個賬號在後臺端和客戶端的信息不一致?
第二,免密支付是如何被開通的?
部分用戶稱此前並未在平臺上開通免密支付,但其支付寶賬單顯示訂單均通過免密支付的方式扣款。
齊先生告訴記者,哈囉客服此前回復他稱,這可能是因爲齊先生爲哈囉單車開通了免密支付,所以導致哈囉順風車也可以通過免密支付來實現。
但是,在哈囉APP中,哈囉單車與哈囉順風車的免密支付是分別獨立授權的,開通授權均需要在支付平臺上輸入付款密碼。
第三,爲何平臺系統沒有識別出這些明顯異常的訂單?
如上文所述,這些憑空的扣款賬單總在一個時間段內“出沒”。從“賬號被盜”直至用戶察覺問題爲止,在這段期間的每一天凌晨23:30至1:00這個時段內,短短几分鐘裡,便會有3筆200元以內的訂單接連完成。
據瞭解,哈囉順風車訂單並不像一般打車訂單一樣結合里程和時間來計費,而是根據起點和終點間的距離生成一個一口價來確定價格。因此,“車主”登錄用戶賬號後可以通過自行操作,輸入起點和終點、點擊已上車和已達到來產生訂單款項。但是多筆百元以上的訂單扣費相繼在幾分鐘內完成,如此異常的情況平臺系統卻沒能識別與預警,這讓用戶質疑平臺是否履行應有的職能。
21世紀經濟報道記者最新瞭解,截至發稿,張先生的案件已經由警方受理並正在調查,哈囉也在配合調查中。多位受害用戶向平臺提出的退款要求,平臺目前暫未予以同意。
哈囉方面對記者表示,“此事件的所有情況,包括可能潛在的安全漏洞等,目前都處於調查之中。只有等調查結果出來了,我們才能明確平臺、用戶和詐騙分子分別應承擔什麼樣的責任,並對外告知。”