Lyft客户面临回收电话号码的潜在黑客

放弃一个新的旧手机号码似乎无害。但对于Lyft客户来说，它可能会使他们的帐户暴露给完全陌生人。

这是在加利福尼亚州的媒体关系专家的Lara Miller发生了什么。本月早些时候，她在拉斯维加斯发现了两次信用卡费用，超过400英里外。

“我认为这是我的借记卡的合法欺诈，”米勒说。

但实际上，另一个女人不小心接管了她的旧Lyft账户。它发生了因为手机公司回收了手机号码米勒在4月份取消了米勒 - 打开黑客之门。

问题涉及Lyft的登录过程。Ride-Hailing应用程序与用户名和密码的麻烦一起使用，而是使用智能手机的CELL编号签署客户。

但是，即使它更改订阅者，该电话号码也可以保持与帐户相关联。米勒最终实现了这一点，叫Elysia，这是现在拥有她旧的手机号码的女人。

Elysia拒绝发表姓氏。但她也意识到，她认为是她认为的Lyft账户的事情。

“我在7月第四次遇到了这个新的号码，”Elysia说。“所以我已经获得了这么多短信，对她（米勒）从老朋友那里意味着。来自Airbnb。“

当Elysia签署Lyft时，她还看到预先存在的付款卡已被存储到账户中。“这个应用程序不会让我改变个人资料，”她说。“没有办法制作新帐户。他们没有那里的选择。“

Elysia试图将自己的信用卡替换为帐户。然而，当她在拉斯维加斯时，她乘坐了两次骑行，其中仍然是米勒的支付卡。

Miller和Elysia表示他们发现整个案例令人不安。“现在我希望没有人使用我的旧电话号码的旧Lyft帐户，”Elysia说。

然而，Lyft说这样的问题很少见。该公司依赖于“各种信号”，包括第三方来源，Lyft帐户和设备，以验证用户的身份。

“如果出现用户的情况可能不一样，我们要求他们验证他们的身份或创建新帐户，”Lyft说。“在极少数情况下，这一过程不像预期工作，我们使用这些学习来改善我们的算法前进。”

尽管如此，其他出版物也会报告了这个问题。黑客新闻的用户也抱怨。

“所以那个令人毛骨悚然的家伙在旧金山带着我的账户乘坐Lyft乘坐，”一年前的一个用户写道。“最好的部分是我可以从该帐户中删除信用卡，因为我不再拥有该电话号码。”

但是，Lyft表示，用户可以通过联系其客户支持来取消账户。

为了防止问题，公司应该为客户提供更强大的双因素认证形式，而不仅仅是依靠电话号码来确认用户的身份，称，安全咨询标签网络的前首席安全官员兼首席执行官Edward Amoroso表示。

然而，不幸的是，除非用户认为他们不再接受这种风险，否则该行业可能不会转向改进的验证方法，“他说。

米勒担心乘车骑行的应用程序没有做到更多来解决这个问题。Lyft提供道歉，并索赔它上周退还了她的银行账户的费用。米勒表示，她终于收到了周二退款。

“我只是生气，我希望更多的人了解这一点，”她说。“我认为它的安全性是一个非常大的缺陷。”

虽然Lyft已经暂停了米勒的旧账户，但是留下了lecysia，无法访问乘车服务。

“现在我甚至可以登录Lyft，”Elysia说。