Lyft客户面临回收电话号码的潜在黑客
放弃一个新的旧手机号码似乎无害。但对于Lyft客户来说,它可能会使他们的帐户暴露给完全陌生人。
这是在加利福尼亚州的媒体关系专家的Lara Miller发生了什么。本月早些时候,她在拉斯维加斯发现了两次信用卡费用,超过400英里外。
“我认为这是我的借记卡的合法欺诈,”米勒说。
但实际上,另一个女人不小心接管了她的旧Lyft账户。它发生了因为手机公司回收了手机号码米勒在4月份取消了米勒 - 打开黑客之门。
问题涉及Lyft的登录过程。Ride-Hailing应用程序与用户名和密码的麻烦一起使用,而是使用智能手机的CELL编号签署客户。
但是,即使它更改订阅者,该电话号码也可以保持与帐户相关联。米勒最终实现了这一点,叫Elysia,这是现在拥有她旧的手机号码的女人。
Elysia拒绝发表姓氏。但她也意识到,她认为是她认为的Lyft账户的事情。
马丁威廉姆斯“我在7月第四次遇到了这个新的号码,”Elysia说。“所以我已经获得了这么多短信,对她(米勒)从老朋友那里意味着。来自Airbnb。“
当Elysia签署Lyft时,她还看到预先存在的付款卡已被存储到账户中。“这个应用程序不会让我改变个人资料,”她说。“没有办法制作新帐户。他们没有那里的选择。“
Elysia试图将自己的信用卡替换为帐户。然而,当她在拉斯维加斯时,她乘坐了两次骑行,其中仍然是米勒的支付卡。
Miller和Elysia表示他们发现整个案例令人不安。“现在我希望没有人使用我的旧电话号码的旧Lyft帐户,”Elysia说。
然而,Lyft说这样的问题很少见。该公司依赖于“各种信号”,包括第三方来源,Lyft帐户和设备,以验证用户的身份。
“如果出现用户的情况可能不一样,我们要求他们验证他们的身份或创建新帐户,”Lyft说。“在极少数情况下,这一过程不像预期工作,我们使用这些学习来改善我们的算法前进。”
尽管如此,其他出版物也会报告了这个问题。黑客新闻的用户也抱怨。
“所以那个令人毛骨悚然的家伙在旧金山带着我的账户乘坐Lyft乘坐,”一年前的一个用户写道。“最好的部分是我可以从该帐户中删除信用卡,因为我不再拥有该电话号码。”
但是,Lyft表示,用户可以通过联系其客户支持来取消账户。
为了防止问题,公司应该为客户提供更强大的双因素认证形式,而不仅仅是依靠电话号码来确认用户的身份,称,安全咨询标签网络的前首席安全官员兼首席执行官Edward Amoroso表示。
然而,不幸的是,除非用户认为他们不再接受这种风险,否则该行业可能不会转向改进的验证方法,“他说。
米勒担心乘车骑行的应用程序没有做到更多来解决这个问题。Lyft提供道歉,并索赔它上周退还了她的银行账户的费用。米勒表示,她终于收到了周二退款。
“我只是生气,我希望更多的人了解这一点,”她说。“我认为它的安全性是一个非常大的缺陷。”
虽然Lyft已经暂停了米勒的旧账户,但是留下了lecysia,无法访问乘车服务。
“现在我甚至可以登录Lyft,”Elysia说。
