Spal v Praze a nic netušil. Zatím v Moskvě někdo jezdil Uberem na jeho účet

  1:00
Českému uživateli někdo přes ukradené údaje vnikl na účet v aplikaci Uber a projezdil v Moskvě přes šest tisíc korun. Podobné zneužití údajů není u Uberu ojedinělé, nahrává mu i slabé zabezpečení aplikace. Firma slibuje, že peníze, které banka z platební karty již strhla, pošle uživateli zpět.

Během úterního odpoledne Peter Antalík v práci zaznamenal, že má na mobilním telefonu mezi jinými i několik notifikací v azbuce. Považoval je za spam. Během dne ale přibývaly. Všiml si, že jde o upozornění alternativní taxiaplikace Uber, kterou si běžně objednával odvoz. Psalo se v nich, že řidič je za chvíli na místě.

Notifikace v telefonu, podle nichž si Antalík všiml, že někdo v Moskvě používá jeho uberový účet.

To Antalíka znepokojilo. Zkoušel se dostat přímo do aplikace, ale neúspěšně. Přihlašovací údaje nefungovaly. Zkusil tedy kontaktovat Uber, ale to lze jen prostřednictvím formuláře na webových stránkách. Nakonec se mu přeci jen – přihlášením přes Facebook – podařilo do aplikace dostat.

Zjistil tak, účet nyní funguje na e-mailu s doménou mail.ru a kazašském telefonním čísle. A hlavně ve výpisu jízd uviděl, že někdo od noci - kterou prospal Antalík ve svém pražském bytě - jezdí na jeho účet po Moskvě.

Moskevská pařba s drožkou za šest tisíc korun

Nejprve si neznámý „spoluuživatel” nejspíš na krátkých úsecích ověřoval, zda to opravdu funguje. Pak se ovšem rozjel: Podnikl jízdu z letiště Šeremetěvo do centra. Z centra na další letiště Vnukovo. Vrcholem byla šedesátikilometrová a přes půl druhé hodiny trvající jízda jihozápadně od metropole.

Výpis několika z deseti provedených moskevských jízd. V 10:44 je zaznamenána ta vůbec nejdražší.

Dohromady vyšlo deset jízd v přepočtu na víc než šest tisíc korun. Jak se Antalík hned přesvědčil v internetovém bankovnictví, jízdy byly placené jeho platební kartou, kterou má v aplikaci uloženou. „To jsem už zavolal do banky a kartu nechal zablokovat,” popisuje Antalík.

Z vlastní aplikace mu totiž nic zablokovat nešlo. Chvíli se snažil alespoň „típat” objednávky, které stále někdo v Rusku posílal. Po zablokování karty bankou problém ustal.

Uber na dotaz iDNES.cz potvrdil, že Antalíkovy údaje někdo zneužil. „Došlo k odcizení uživatelského jména a hesla neznámou třetí stranou,“ potvrdila česká mluvčí firmy Miroslava Jozová. Zároveň mluvčí firmy říká, že „v tomto případě byla žádost okamžitě vyřešena a uživatel byl informovaný o zabezpečení jeho účtu“.

Výpis z internetového bankovnictví Petera Antalíka s částkami strženými z jeho platební karty za jízdy moskevským Uberem.

To ale Antalík odmítá. Z jím poskytnutého snímku komunikace se zákaznickou podporou vyplývá, že na jeho dotaz z úterních 19:56 přišla odpověď druhý den ve tři čtvrtě na šest ráno. A to taková, že žádný účet pod jeho jménem nemohou najít (což bylo způsobeno nejspíš právě tím, že byl napaden a přihlašované údaje někdo změnil).

E-mail o vyřešení situace potom přišel po sedmé ranní v reakci na další stížnost. Tedy v době, kdy Antalík již situaci dávno vyřešil s bankou zablokováním karty. Uber slíbil, že v Moskvě projeté peníze (které banka zaúčtovala) pošle Antalíkovi zpět.

Pro upřesnění: kartu lze přes aplikaci zneužít jen k platbám řidičům za jízdy. K samotným údajům jako je číslo karty, platnost a bezpečnostní trojčíslí, pomocí nichž by útočník mohl odčerpat peníze přes jiný on-line platební portál, se nedostane.

„Přístup Uberu k citlivým údajům je nepochopitelný“

Přesto, že mluvčí Uberu v odpovědích na otázky iDNES.cz hned několikrát zmínila, že bezpečnost uživatelů je pro firmu prioritou, na první pohled je z popsaného případu vidět, že jsou právě v zabezpečení naopak velké mezery. Myslí si to i technický ředitel antivirové společnosti Eset Miroslav Dvořák.

Návod: Jak dobře nastavit heslo

Silné heslo, které vás ochrání před zneužitím, musí být především unikátní

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

„Přidání dalšího zařízení k účtu spárovaného s platební kartou, bez dalšího ověření, je nepochopitelný přístup Uberu k bezpečnosti citlivých údajů svých klientů,“ říká Dvořák s odkazem na to, že obdobné problémy vedly u bank už před mnoha lety k zavedení vícefaktorového ověřování. Tedy identifikaci uživatele spočívající typicky ještě v jednorázovém hesle zaslaném na mobilní telefon. „Překvapuje mě, že Uber opakuje chyby bank,“ říká Dvořák.

Na konfrontaci s Dvořákovými konkrétními výtkami a otázku, proč Uber nechrání údaje svých klientů dvoustupňovou autorizací, odpověděla mluvčí Jozová následovně: „Děkujeme za názor. Na zabezpečeních neustále pracujeme a máme k tomu dedikovaný tým, který se tímto zabývá.“

Na otázku, jak často k neoprávněným vniknutím do účtů Uberu dochází, Jozová neodpověděla. Zahraniční média již ale dříve v podstatě shodné případy popisovala. V květnu 2015 vydala text o zkušenosti se zneužitím účtu BBC, o rok později hned několik poškozených vylíčilo své příběhy Guardianu. Na rozvinutý trh s kradenými údaji uživatelů Uberu upozornil už před dvěma roky server Motherboard.

Pohled do aplikace poté, co „nový uživatel“ změnil Antalíkovy kontaktní údaje.

Právě proto, že stačí jen jméno a heslo a můžete jezdit, jsou podle bezpečnostního experta Dvořáka údaje z taxiaplikace na černém trhu ceněné. „Zatímco cena údajů například k netflixovému účtu se pohybuje pouze kolem 0,76 dolaru a u facebookového účtu okolo tří dolarů, tak cena zcizených údajů pro Uber jsou 4 dolary. Zde platí, že čím je jednodušší přístupové údaje zneužít, tím je cena vyšší,“ vysvětluje odborník na kybernetickou bezpečnost.

Jezdí jen tak po městech, nebo sofistikovaně tunelují účty?

Není úplně jasné, k čemu se přesně ukradené údaje používají. Zda pouze k tomu, že na ně někdo bude pár hodin jezdit autem po městě po často zvláštních trasách, než na to zpravidla okradený přijde a jako Antalík zneužití znemožní.

A nebo zda jde o hackery, kteří pomocí našvindlování cest de facto vyvádějí peníze z karty na účet řidiče (který je také falešný). O takové praktice letos v lednu informoval opět server Motherboard. K dispozici není ale žádný věrohodný test a ani tedy není jasné, zda to opravdu funguje. Mluvčí Uberu využívání kradených údajů komentovat nechtěla.

Poznámka redakce: Peter Antalík pracuje jako kameraman pro iDNES.cz, rozhovor proběhl v pátek 28. dubna.

Autor:
  • Nejčtenější

Konec nadvlády programátorů. Pozic ubývá, na jednu se hlásí stále víc lidí

16. března 2024

Premium Ochota firem splnit uchazečům skoro jakýkoli požadavek a velmi nízká konkurence. Tak by se ještě...

Výrazně zpomalte rychlovlaky, vzkazují obce k nové trati. A koleje chtějí skrýt

12. března 2024

Postavte rychlotrať v tubusu, a nebo na ní výrazně snižte rychlost. Tak by se daly zjednodušeně...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Pořád Big Mac, ale už spíše Big Tech. Co ukázal výpadek u fastfoodového obra

16. března 2024

Když McDonald’s ve 40. letech minulého století poprvé otvíral, zákazníci vybírali menu z papírových...

Soláry, kam se podíváš. Elektrárnám dochází místo, musí být kreativní

17. března 2024  10:52

Elektřina ze slunce bude podle Mezinárodní agentury pro energii (IEA) v příštích několika...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Kofola sáhla do svého loga. Nově v něm bude hranaté srdce

13. března 2024  13:48

Nápojářská skupina Kofola po devíti letech sáhla k úpravě loga. Ikonický lísteček lékořice na svých...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Osm incidentů za dva týdny. Co se děje s letadly společnosti United Airlines

19. března 2024  11:28

Požár motoru způsobený nasátým plastovým obalem, ztráta pneumatiky krátce po startu nebo sjetí...

Trest pro exšéfa zadlužené Evergrande. Doživotně nesmí obchodovat s akciemi

19. března 2024  10:09

Chuej Kcha Jen, šéf zadlužené čínské realitní firmy China Evergrande, má celoživotní zákaz...

Japonsko už nemá záporné úroky. Centrální banka po 17 letech zvýšila sazbu

19. března 2024  6:37,  aktualizováno  8:10

Japonská centrální banka (BOJ) v úterý podle očekávání jako poslední na světě upustila od záporných...

Cena elektřiny bude příští rok nižší než letos, říká analytik Matoušek

19. března 2024

Premium Dobrá zpráva: v příštím roce bude celková cena elektřiny nižší než v tomto roce. Ta méně dobrá zní,...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Byla to láska na první pohled, říká hvězda Gilmorek o manželství s modelkou

Milo Ventimiglia (46), představitel Jesse ze seriálu Gilmorova děvčata nebo Jacka Pearsona ze seriálu Tohle jsme my, je...