Premium

Získejte všechny články mimořádně
jen za 49 Kč/3 měsíce

Spal v Praze a nic netušil. Zatím v Moskvě někdo jezdil Uberem na jeho účet

  1:00
Českému uživateli někdo přes ukradené údaje vnikl na účet v aplikaci Uber a projezdil v Moskvě přes šest tisíc korun. Podobné zneužití údajů není u Uberu ojedinělé, nahrává mu i slabé zabezpečení aplikace. Firma slibuje, že peníze, které banka z platební karty již strhla, pošle uživateli zpět.

Během úterního odpoledne Peter Antalík v práci zaznamenal, že má na mobilním telefonu mezi jinými i několik notifikací v azbuce. Považoval je za spam. Během dne ale přibývaly. Všiml si, že jde o upozornění alternativní taxiaplikace Uber, kterou si běžně objednával odvoz. Psalo se v nich, že řidič je za chvíli na místě.

Notifikace v telefonu, podle nichž si Antalík všiml, že někdo v Moskvě používá jeho uberový účet.

To Antalíka znepokojilo. Zkoušel se dostat přímo do aplikace, ale neúspěšně. Přihlašovací údaje nefungovaly. Zkusil tedy kontaktovat Uber, ale to lze jen prostřednictvím formuláře na webových stránkách. Nakonec se mu přeci jen – přihlášením přes Facebook – podařilo do aplikace dostat.

Zjistil tak, účet nyní funguje na e-mailu s doménou mail.ru a kazašském telefonním čísle. A hlavně ve výpisu jízd uviděl, že někdo od noci - kterou prospal Antalík ve svém pražském bytě - jezdí na jeho účet po Moskvě.

Moskevská pařba s drožkou za šest tisíc korun

Nejprve si neznámý „spoluuživatel” nejspíš na krátkých úsecích ověřoval, zda to opravdu funguje. Pak se ovšem rozjel: Podnikl jízdu z letiště Šeremetěvo do centra. Z centra na další letiště Vnukovo. Vrcholem byla šedesátikilometrová a přes půl druhé hodiny trvající jízda jihozápadně od metropole.

Výpis několika z deseti provedených moskevských jízd. V 10:44 je zaznamenána ta vůbec nejdražší.

Dohromady vyšlo deset jízd v přepočtu na víc než šest tisíc korun. Jak se Antalík hned přesvědčil v internetovém bankovnictví, jízdy byly placené jeho platební kartou, kterou má v aplikaci uloženou. „To jsem už zavolal do banky a kartu nechal zablokovat,” popisuje Antalík.

Z vlastní aplikace mu totiž nic zablokovat nešlo. Chvíli se snažil alespoň „típat” objednávky, které stále někdo v Rusku posílal. Po zablokování karty bankou problém ustal.

Uber na dotaz iDNES.cz potvrdil, že Antalíkovy údaje někdo zneužil. „Došlo k odcizení uživatelského jména a hesla neznámou třetí stranou,“ potvrdila česká mluvčí firmy Miroslava Jozová. Zároveň mluvčí firmy říká, že „v tomto případě byla žádost okamžitě vyřešena a uživatel byl informovaný o zabezpečení jeho účtu“.

Výpis z internetového bankovnictví Petera Antalíka s částkami strženými z jeho platební karty za jízdy moskevským Uberem.

To ale Antalík odmítá. Z jím poskytnutého snímku komunikace se zákaznickou podporou vyplývá, že na jeho dotaz z úterních 19:56 přišla odpověď druhý den ve tři čtvrtě na šest ráno. A to taková, že žádný účet pod jeho jménem nemohou najít (což bylo způsobeno nejspíš právě tím, že byl napaden a přihlašované údaje někdo změnil).

E-mail o vyřešení situace potom přišel po sedmé ranní v reakci na další stížnost. Tedy v době, kdy Antalík již situaci dávno vyřešil s bankou zablokováním karty. Uber slíbil, že v Moskvě projeté peníze (které banka zaúčtovala) pošle Antalíkovi zpět.

Pro upřesnění: kartu lze přes aplikaci zneužít jen k platbám řidičům za jízdy. K samotným údajům jako je číslo karty, platnost a bezpečnostní trojčíslí, pomocí nichž by útočník mohl odčerpat peníze přes jiný on-line platební portál, se nedostane.

„Přístup Uberu k citlivým údajům je nepochopitelný“

Přesto, že mluvčí Uberu v odpovědích na otázky iDNES.cz hned několikrát zmínila, že bezpečnost uživatelů je pro firmu prioritou, na první pohled je z popsaného případu vidět, že jsou právě v zabezpečení naopak velké mezery. Myslí si to i technický ředitel antivirové společnosti Eset Miroslav Dvořák.

Návod: Jak dobře nastavit heslo

Silné heslo, které vás ochrání před zneužitím, musí být především unikátní

Není heslo jako heslo. Či spíše heslo jako heslo vlastně ani není heslo.

„Přidání dalšího zařízení k účtu spárovaného s platební kartou, bez dalšího ověření, je nepochopitelný přístup Uberu k bezpečnosti citlivých údajů svých klientů,“ říká Dvořák s odkazem na to, že obdobné problémy vedly u bank už před mnoha lety k zavedení vícefaktorového ověřování. Tedy identifikaci uživatele spočívající typicky ještě v jednorázovém hesle zaslaném na mobilní telefon. „Překvapuje mě, že Uber opakuje chyby bank,“ říká Dvořák.

Na konfrontaci s Dvořákovými konkrétními výtkami a otázku, proč Uber nechrání údaje svých klientů dvoustupňovou autorizací, odpověděla mluvčí Jozová následovně: „Děkujeme za názor. Na zabezpečeních neustále pracujeme a máme k tomu dedikovaný tým, který se tímto zabývá.“

Na otázku, jak často k neoprávněným vniknutím do účtů Uberu dochází, Jozová neodpověděla. Zahraniční média již ale dříve v podstatě shodné případy popisovala. V květnu 2015 vydala text o zkušenosti se zneužitím účtu BBC, o rok později hned několik poškozených vylíčilo své příběhy Guardianu. Na rozvinutý trh s kradenými údaji uživatelů Uberu upozornil už před dvěma roky server Motherboard.

Pohled do aplikace poté, co „nový uživatel“ změnil Antalíkovy kontaktní údaje.

Právě proto, že stačí jen jméno a heslo a můžete jezdit, jsou podle bezpečnostního experta Dvořáka údaje z taxiaplikace na černém trhu ceněné. „Zatímco cena údajů například k netflixovému účtu se pohybuje pouze kolem 0,76 dolaru a u facebookového účtu okolo tří dolarů, tak cena zcizených údajů pro Uber jsou 4 dolary. Zde platí, že čím je jednodušší přístupové údaje zneužít, tím je cena vyšší,“ vysvětluje odborník na kybernetickou bezpečnost.

Jezdí jen tak po městech, nebo sofistikovaně tunelují účty?

Není úplně jasné, k čemu se přesně ukradené údaje používají. Zda pouze k tomu, že na ně někdo bude pár hodin jezdit autem po městě po často zvláštních trasách, než na to zpravidla okradený přijde a jako Antalík zneužití znemožní.

A nebo zda jde o hackery, kteří pomocí našvindlování cest de facto vyvádějí peníze z karty na účet řidiče (který je také falešný). O takové praktice letos v lednu informoval opět server Motherboard. K dispozici není ale žádný věrohodný test a ani tedy není jasné, zda to opravdu funguje. Mluvčí Uberu využívání kradených údajů komentovat nechtěla.

Poznámka redakce: Peter Antalík pracuje jako kameraman pro iDNES.cz, rozhovor proběhl v pátek 28. dubna.

Autor:
  • Nejčtenější

Mallorkou se promenoval turista jen v plavkách, místní už toho mají dost

14. května 2024  14:48

Po měsících protestů na Baleárských ostrovech, včetně hladovek před hotely nebo vlny graffiti,...

Belgie jako druhé Řecko. Zadlužení země rychle roste, řešení v nedohlednu

13. května 2024

Belgie se už dlouhé roky řadí mezi nejvíce zadlužené ekonomiky Evropské unie. Svůj dluh tato...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Do britských hospod dorazil americký zvyk, spropitné. Pivaři jsou zmatení

11. května 2024

Pro návštěvníky britských hospod bylo donedávna největší dilema zda si dají whisky, nebo pivo. A...

Muž využil mezery v systému aerolinek. Získal zdarma 58 letenek

15. května 2024

Právník Tyrone Barugh poukázal na mezeru v akční nabídce australské letecké společnosti Jetstar....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Tušení smrti žene ruské miliardáře do vlasti. Řeší dědictví, bojí se znárodnění

10. května 2024

Premium Stárnoucí ruští miliardáři řeší zásadní problém: jak převést obří majetek na své dědice....

Rusko dál „luxuje“ cizí banky, kvůli sankcím přišly o majetek ty německé

18. května 2024  18:16

Ruský soud ve sporu kolem plynárenského projektu nedokončeného kvůli protiválečným sankcím...

McDonald´s ve Spojených státech zlevňuje menu. Láká šetrné zákazníky

18. května 2024

McDonald’s má v plánu v amerických pobočkách nabízet menu za pět dolarů (115 Kč). Od kroku si firma...

Volný čas je dnes pro zaměstnance důležitější než peníze, říká manažerka

18. května 2024

Petra Čopová vedla vlastní advokátní kancelář, ale příčilo se jí čekat měsíce i roky na výsledek a...

Roční bonus jako osm mezd. Asijská aerolinka štědře odměnila zaměstnance

18. května 2024  14:58

Loni se stala nejlepším leteckým dopravcem světa, podle výkazu ročních zisků se jí enormně daří. A...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Bohužel nám to nevyšlo, oznámili manželé Pagáčovi rozchod po šesti letech

Herečka Patricie Pagáčová (35) a dramaturg Tibor Pagáč (32) se rozešli po pěti letech manželství. Žádost o rozvod zatím...

Moderátorka Petra Křivková-Svoboda přišla při tragické nehodě o manžela

Moderátorka poledních zpráv televize Nova Petra Křivková-Svoboda (41) v neděli ztratila svého manžela Ondřeje Křivku...

Zemřel Vlastimil Harapes. Baletní mistr Národního divadla i českých filmů

Ve věku 77 let zemřel tanečník a herec Vlastimil Harapes. Dlouhá léta byl sólistou baletu Národního divadla. Zahrál si...

Eurovizi vyhrál nebinární Švýcar Nemo. Nizozemce vyloučili za „výhružný pohyb“

Ve švédském Malmö rozhodli o vítězi letošní Eurovize. Stal se jím švýcarský nebinární zpěvák Nemo. Soutěž doprovázely...

Miss Czech Republic 2024 se stala studentka Adéla Štroffeková z Prahy

Vítězkou 15. ročníku Miss Czech Republic se stala studentka Adéla Štroffeková (21). Českou republiku bude reprezentovat...