Pátek 30. září 2022, svátek má Jeroným, Ráchel
  • schránka
  • Přihlásit Můj účet
  • Pátek 30. září 2022 Jeroným, Ráchel

Spal v Praze a nic netušil. Zatím v Moskvě někdo jezdil Uberem na jeho účet

  1:00
Českému uživateli někdo přes ukradené údaje vnikl na účet v aplikaci Uber a projezdil v Moskvě přes šest tisíc korun. Podobné zneužití údajů není u Uberu ojedinělé, nahrává mu i slabé zabezpečení aplikace. Firma slibuje, že peníze, které banka z platební karty již strhla, pošle uživateli zpět.

Během úterního odpoledne Peter Antalík v práci zaznamenal, že má na mobilním telefonu mezi jinými i několik notifikací v azbuce. Považoval je za spam. Během dne ale přibývaly. Všiml si, že jde o upozornění alternativní taxiaplikace Uber, kterou si běžně objednával odvoz. Psalo se v nich, že řidič je za chvíli na místě.

Notifikace v telefonu, podle nichž si Antalík všiml, že někdo v Moskvě používá jeho uberový účet.

To Antalíka znepokojilo. Zkoušel se dostat přímo do aplikace, ale neúspěšně. Přihlašovací údaje nefungovaly. Zkusil tedy kontaktovat Uber, ale to lze jen prostřednictvím formuláře na webových stránkách. Nakonec se mu přeci jen – přihlášením přes Facebook – podařilo do aplikace dostat.

Zjistil tak, účet nyní funguje na e-mailu s doménou mail.ru a kazašském telefonním čísle. A hlavně ve výpisu jízd uviděl, že někdo od noci - kterou prospal Antalík ve svém pražském bytě - jezdí na jeho účet po Moskvě.

Moskevská pařba s drožkou za šest tisíc korun

Nejprve si neznámý „spoluuživatel” nejspíš na krátkých úsecích ověřoval, zda to opravdu funguje. Pak se ovšem rozjel: Podnikl jízdu z letiště Šeremetěvo do centra. Z centra na další letiště Vnukovo. Vrcholem byla šedesátikilometrová a přes půl druhé hodiny trvající jízda jihozápadně od metropole.

Výpis několika z deseti provedených moskevských jízd. V 10:44 je zaznamenána ta vůbec nejdražší.

Dohromady vyšlo deset jízd v přepočtu na víc než šest tisíc korun. Jak se Antalík hned přesvědčil v internetovém bankovnictví, jízdy byly placené jeho platební kartou, kterou má v aplikaci uloženou. „To jsem už zavolal do banky a kartu nechal zablokovat,” popisuje Antalík.

Z vlastní aplikace mu totiž nic zablokovat nešlo. Chvíli se snažil alespoň „típat” objednávky, které stále někdo v Rusku posílal. Po zablokování karty bankou problém ustal.

Uber na dotaz iDNES.cz potvrdil, že Antalíkovy údaje někdo zneužil. „Došlo k odcizení uživatelského jména a hesla neznámou třetí stranou,“ potvrdila česká mluvčí firmy Miroslava Jozová. Zároveň mluvčí firmy říká, že „v tomto případě byla žádost okamžitě vyřešena a uživatel byl informovaný o zabezpečení jeho účtu“.

Výpis z internetového bankovnictví Petera Antalíka s částkami strženými z jeho platební karty za jízdy moskevským Uberem.

To ale Antalík odmítá. Z jím poskytnutého snímku komunikace se zákaznickou podporou vyplývá, že na jeho dotaz z úterních 19:56 přišla odpověď druhý den ve tři čtvrtě na šest ráno. A to taková, že žádný účet pod jeho jménem nemohou najít (což bylo způsobeno nejspíš právě tím, že byl napaden a přihlašované údaje někdo změnil).

E-mail o vyřešení situace potom přišel po sedmé ranní v reakci na další stížnost. Tedy v době, kdy Antalík již situaci dávno vyřešil s bankou zablokováním karty. Uber slíbil, že v Moskvě projeté peníze (které banka zaúčtovala) pošle Antalíkovi zpět.

Pro upřesnění: kartu lze přes aplikaci zneužít jen k platbám řidičům za jízdy. K samotným údajům jako je číslo karty, platnost a bezpečnostní trojčíslí, pomocí nichž by útočník mohl odčerpat peníze přes jiný on-line platební portál, se nedostane.

„Přístup Uberu k citlivým údajům je nepochopitelný“

Přesto, že mluvčí Uberu v odpovědích na otázky iDNES.cz hned několikrát zmínila, že bezpečnost uživatelů je pro firmu prioritou, na první pohled je z popsaného případu vidět, že jsou právě v zabezpečení naopak velké mezery. Myslí si to i technický ředitel antivirové společnosti Eset Miroslav Dvořák.

Návod: Jak dobře nastavit heslo

Silné heslo, které vás ochrání před zneužitím, musí být především unikátní

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

„Přidání dalšího zařízení k účtu spárovaného s platební kartou, bez dalšího ověření, je nepochopitelný přístup Uberu k bezpečnosti citlivých údajů svých klientů,“ říká Dvořák s odkazem na to, že obdobné problémy vedly u bank už před mnoha lety k zavedení vícefaktorového ověřování. Tedy identifikaci uživatele spočívající typicky ještě v jednorázovém hesle zaslaném na mobilní telefon. „Překvapuje mě, že Uber opakuje chyby bank,“ říká Dvořák.

Na konfrontaci s Dvořákovými konkrétními výtkami a otázku, proč Uber nechrání údaje svých klientů dvoustupňovou autorizací, odpověděla mluvčí Jozová následovně: „Děkujeme za názor. Na zabezpečeních neustále pracujeme a máme k tomu dedikovaný tým, který se tímto zabývá.“

Na otázku, jak často k neoprávněným vniknutím do účtů Uberu dochází, Jozová neodpověděla. Zahraniční média již ale dříve v podstatě shodné případy popisovala. V květnu 2015 vydala text o zkušenosti se zneužitím účtu BBC, o rok později hned několik poškozených vylíčilo své příběhy Guardianu. Na rozvinutý trh s kradenými údaji uživatelů Uberu upozornil už před dvěma roky server Motherboard.

Pohled do aplikace poté, co „nový uživatel“ změnil Antalíkovy kontaktní údaje.

Právě proto, že stačí jen jméno a heslo a můžete jezdit, jsou podle bezpečnostního experta Dvořáka údaje z taxiaplikace na černém trhu ceněné. „Zatímco cena údajů například k netflixovému účtu se pohybuje pouze kolem 0,76 dolaru a u facebookového účtu okolo tří dolarů, tak cena zcizených údajů pro Uber jsou 4 dolary. Zde platí, že čím je jednodušší přístupové údaje zneužít, tím je cena vyšší,“ vysvětluje odborník na kybernetickou bezpečnost.

Jezdí jen tak po městech, nebo sofistikovaně tunelují účty?

Není úplně jasné, k čemu se přesně ukradené údaje používají. Zda pouze k tomu, že na ně někdo bude pár hodin jezdit autem po městě po často zvláštních trasách, než na to zpravidla okradený přijde a jako Antalík zneužití znemožní.

A nebo zda jde o hackery, kteří pomocí našvindlování cest de facto vyvádějí peníze z karty na účet řidiče (který je také falešný). O takové praktice letos v lednu informoval opět server Motherboard. K dispozici není ale žádný věrohodný test a ani tedy není jasné, zda to opravdu funguje. Mluvčí Uberu využívání kradených údajů komentovat nechtěla.

Poznámka redakce: Peter Antalík pracuje jako kameraman pro iDNES.cz, rozhovor proběhl v pátek 28. dubna.

Autor:
  • Nejčtenější

Přístroje zjistily výbuchy u Nord Streamu. Úmyslný čin, tvrdí Švédsko

Švédské a dánské měřicí stanice v pondělí zaznamenaly masivní podmořské výbuchy, a to v místech, kde z plynovodu Nord...

Slovensko vře kvůli cenám elektřiny. Největší výrobce hrozí bankrotem

Největšímu výrobci elektřiny na Slovensku, společnosti Slovenské elektrárne, se příčí dodávání elektřiny slovenským...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Slovenské ekonomice hrozí kolaps, varuje premiér. Žádá pomoc EU, mluví o zestátnění

Premiér Eduard Heger varuje, že slovenské ekonomice hrozí kvůli prudce rostoucím nákladům na energie kolaps. Obrovský...

Síkelovo poslední slovo: spotřeba neovlivní stropní cenu energií u domácností

Jako v pohádce Pyšná princezna si lze připadat při sledování výroků ministra průmyslu a obchodu o zastropování cen...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Strop pro domácnosti zřejmě nebude na celou spotřebu, řekl Síkela

Vláda pracuje na nařízeních, která mají upravit způsob zastropování cen energií. Zatímco ceny by měly zůstat na...

Sověti ozářili Richarda Nixona radioaktivitou. Jeho agenti to zastavili trikem

Premium Při návštěvě v Sovětském svazu Richard Nixon sice přátelsky hovořil se sovětským vůdcem Nikitou Chruščovem v takzvané...

Test kočičích kapsiček. I z krmiva za deset korun může zvíře dostat vše

Premium Kočky nám sice někdy připadají mlsné, ale ony jen v miskách hledají to, co jejich tělu prospívá nejvíc: maso plné...

Extra steh po porodu navíc? Rodičky děsí ponižující husband stitch

Premium Přivést dítě na svět znamená pro většinu žen prožít si mnoho vypjatých chvil. Vyrovnat se s průběhem porodu nemusí být...

Test dámských vložek: Klidná noc vás nemusí stát víc než tři koruny

Premium Některá klade důraz na pohodlí, jiná na vůni a hebký povrch, další upřednostňuje praktičnost nebo šetrnost k přírodě....

Test energetických nápojů: hrst cukru, pachuť žužu. Dětem ničí spánek i kondici

Premium Když Rakušan Dietrich Mateschitz a Chaleo Yoovidhya, thajský vynálezce elixíru Krating Daeng, vypustili v roce 1987 do...

Test rozvozu pizz: Za 15 i 90 minut, lahodné i za trest, ale nikdy horké

Premium Byť se za objevitele pizzy považují Italové, jejich rozvoz až na práh domu vynalezli za Atlantikem. Kurýr v autě plném...

Velký test vín: Nejlepší Pálava voní po plástvích medu, meruňce i ananasu

Premium Pálava nejlépe vyzrává na jižních svazích dostatečně zásobených vodou. Takových, které mají právě pod Pavlovskými...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

RECENZE: Pro Pokáče byla O2 arena příliš velkým soustem

Z hlediska návštěvnosti skončil koncert písničkáře Pokáče v O2 areně maximálním úspěchem - pár hodin před začátkem...

Přístroje zjistily výbuchy u Nord Streamu. Úmyslný čin, tvrdí Švédsko

Švédské a dánské měřicí stanice v pondělí zaznamenaly masivní podmořské výbuchy, a to v místech, kde z plynovodu Nord...

Příběh Marty: Syn si přivedl domů přítelkyni, je to líná špindíra

Se synem jsme měli vždycky hezký vztah. Naším společným plánem bylo, že jednou s námi zůstane žít v našem domě v...

Slovensko vře kvůli cenám elektřiny. Největší výrobce hrozí bankrotem

Největšímu výrobci elektřiny na Slovensku, společnosti Slovenské elektrárne, se příčí dodávání elektřiny slovenským...

Mrazivá noc bez spánku a výstup na skálu. Soukalová promluvila o ztracení

Moderátorka Gabriela Soukalová (32) vyrazila na dovolenou v italském Livignu se svým přítelem Milošem a dcerkou...