Australský hacker hledaný FBI v Česku vysál milion z platebních terminálů

  0:01aktualizováno  0:01
Po mladém australském hackerovi Dylanu Wheelerovi šla FBI kvůli miliardovým škodám a prolomení obrany Microsoftu i americké armády. Nakonec se ale k trestnému činu přiznal u okresního soudu v Ostravě. Potom, co před čtyřmi roky prchl do Česka, zneužil zranitelnost v platebních terminálech, které mají desítky tisíc obchodníků. A vysál tak 1,4 milionu korun. Nedostatek není opravený doteď.

Australsko-český hacker Dylan Wheeler poté, co prchl do Česka, rozdal několik rozhovorů. Popisuje v nich své počítačové talenty, ale zdůrazňuje, že nic trestného sám nedělal. | foto: Dokument televizní stanice ABC

Dylana Wheelera původně americké úřady vyšetřovaly kvůli tomu, že se už ve čtrnácti letech stal součástí skupiny, která se nabourala na servery největších amerických herních studií. Hackeři pak roky kradli přísně utajený kód dosud nevydaných počítačových her v miliardových hodnotách. Dostali se také k simulátoru vrtulníku Apache, který jedna z firem vyvíjela pro americkou armádu, a debatovali o tom, že ho „prodají Arabům“.

Dokonce získali plány herní konzole Xbox One mamutí společnosti Microsoft. V šíleném plánu dle nich vytvořili vlastní variantu zařízení dlouhou dobu předtím, než vůbec mělo přijít na trh, a snažili se ho prodat. Prototyp Xboxu od nich ovšem nakonec v utajení koupila FBI.

Čtyři Wheelerovi spolupracovníci skončili ve vězení. Wheeler z potíží vybruslil. Když ho ale jako IT experta zaměstnala ostravská firma, hacker v roce 2017 využil bezpečnostní zranitelnost v karetním platebním terminálu, na kterou firma předtím přišla. A přímo z jejích účtů vysál na 1,4 milionů korun a opět prchl. Tentokrát do Velké Británie.

V bezpečnostním ohrožení jsou desítky tisíc obchodů či restaurací v Česku, které model platebních terminálů používají.

U Okresního soudu v Ostravě dnes již třiadvacetiletý Wheeler letos v lednu souhlasil s tím, že výměnou za podmínku přizná vinu, že svého někdejšího zaměstnavatele o peníze opravdu připravil. Dokument má MF DNES k dispozici.

Nedostatek v nastavení terminálů, přes které v Česku protékají miliardy, však stále opravený není. MF DNES ho z bezpečnostních důvodů nebude popisovat do detailů. Banky odmítají potíž komentovat, je pravděpodobné, že se týká více než jedné z nich, kterou při krádeži obalamutil přímo Wheeler.

„Kdokoliv, kdo se dostane k platebnímu terminálu, který například v restauracích vrchní běžně nechávají ležet na stolech, může převrátit jeho chod. Místo toho, aby si pomocí něho nechal peníze z karty strhnout, naopak na svou kartu vyčerpá peníze z účtu obchodníka. Stačí znát speciální PIN, který je ale ve výchozím stavu u všech obchodníků stejný a snadno odhadnutelný. Většina z nich si ho nezmění,“ popsal Adam Koudela z kyberbezpečnostní firmy XEVOS Solutions, která na chybu přišla a Wheelera zaměstnávala.

Je to jako reklamovat boty

Mechanismus je určený pro případy, kdy zákazník reklamuje třeba boty a obchodník mu takto může peníze rovnou vrátit zpět na kartu. Wheeler však ukázal, že se dá snadno zneužít.

Jak si XEVOS vyzkoušel přímo na sobě, banka navíc nebyla schopná platby blokovat jako podezřelé. Většina z 1,4 milionu tak skutečně odešla na Wheelerovu australskou kartu.

A to navzdory tomu, že firma na účtu propojeném s terminálem v tu chvíli tolik peněz neměla a nikdy v minulosti žádné vratkové platby neprováděla. Wheeler si přitom nechal sedmkrát za sebou vyplácet podezřelé částky 123 456,78 koruny a 234 567,89 koruny.

„Až po necelém týdnu mi z banky volali, že vracíme na nějakou kartu statisíce a jestli o tom víme,“ dodal Koudela. Wheeler většinu peněz nakonec firmě vrátil. XEVOS se však dodnes s bankou soudí ještě o téměř 300 tisíc.

Banka (jejíž název rovněž redakce z bezpečnostních důvodů nezveřejňuje - pozn. red.) konkrétní případ komentovat nechce.

„Transakce typu Návrat je specifický typ transakce, který je využíván obchodníky v případech, kdy zákazník vrací zakoupené zboží, které bylo předtím zaplaceno kartou. Transakci lze provést na platebním terminálu nebo na základě žádosti, kterou nám obchodník zašle. V obou případech musí být požadavek autorizován...“ konstatuje pouze velmi obecně.

Ze soudních dokumentů, které má MF DNES k dispozici, přitom plyne, že policie při prohlídce Wheelerova ostravského bydlení zabavila také tiskárnu a pětici neumělých padělků pětitisícikorunových bankovek.

Samotného hackera se MF DNES kontaktovat nepodařilo. Vše nasvědčuje tomu, že po problémech v Česku žije ve Velké Británii.

Jeho jméno se v médiích naposledy objevilo před měsícem, když vyšlo najevo, že ho na londýnském veletrhu napadl zástupce firmy, která vyrábí software pro kasina. Wheeler prohlašoval, že se společnost pokoušel upozornit na závažné nedostatky v jejím softwaru. Firma se brání, že se ji snažil vydírat.

Wheeler ve Spojeném království provozuje firmu Day After Exploit, která se věnuje bezpečnosti.

A dlouhodobě trvá na tom, že v minulosti nic špatného neudělal.

Ferrari pro lepší zdraví

„Vím, že došlo k několika věcem, které se nejspíš stát neměly. Neměl jsem o nich podrobné informace, a tak jsem na ně nemohl nikoho upozornit, ani jsem nevěděl, jak tohle počínání zastavit,“ vykládal před lety Českému rozhlasu, kterému poskytl rozhovor.

Wheeler se od té doby zviditelnil třeba tím, že na internetu vypsal sbírku na půl milionu dolarů na své nové ferrari, protože by mu prý pomohlo vylepšit jeho zdraví.

Z masivního skandálu, do něhož se zapletl jako čtrnáctiletý, se zřejmě definitivně dostal. Na rozdíl od svých čtyř přátel. Věc detailně vyšetřovala FBI a skupinu vinila z toho, že jednotlivé firmy připravila o software v hodnotě 2,5 miliardy korun.

„Jsem čistý“

Američané tehdy mladistvého hackera nechali Australanům, aby ho potrestali. Hrozilo mu až deset let vězení.

Krátce poté, co měl odevzdat pas, uprchl Wheeler právě do České republiky. Díky českým kořenům od té doby využívá zdejší doklady, na základě kterých může volně cestovat po světě. Za pomoc s útěkem však Austrálie na více než dva roky vězení odsoudila jeho matku.

„Minulost je za mnou. Snažím se být nyní tak transparentní, jak to jen jde,“ řekl nyní serveru Ars Technica.

Volby do Evropského parlamentu proběhnou v České republice 24. - 25. 5.
Volební místnosti budou otevřeny v pátek od 14:00 do 22:00 a v sobotu od 8:00 do 14:00.


Hlavní zprávy

Nejčtenější

Otec se doznal k vraždě dítěte v Pardubicích. Nebyla jiná cesta, řekl

Obviněný otec čeká u soudu na rozhodnutí o vazbě.

Čtyřicetiletý otec se doznal k vraždě svého syna, která se stala v noci na pondělí v Pardubicích. Příčinou úmrtí bylo...

Začalo to fotkou od moře. Následovaly výhrůžky a bezmoc

Ilustrační snímek

Tereze, dívce z malé vesnice, kde se všichni znají, bylo tehdy čtrnáct let. Večery zpravidla trávila u počítače. Hlavně...

Šesťačka vrazila učiteli facku, spolužáci útok podporovali a bavili se

ZŠ Za Chlumem Bílina

Fyzický útok proti jednomu z učitelů řeší od pátku vedení základní školy Za Chlumem v Bílině. Žákyně šesté třídy dala...

VIDEO: Já, zvrhlý pán internetu. Reportér odhalil, jak predátor loví děti

Redaktoři MF DNES s pomocí figurantky nachytali sexuálního predátora. (13....

Říká si „Zralý chlapák“ nebo také „Zvrhlý pán“. Je mu padesát, je rozvedený, žije sám a na internetu oslovuje nezletilé...

Česku hrozí povodně. Některé kraje zasáhne vydatný déšť

Obec Janská u České Kamenice

Česku hrozí povodně. Některé kraje zasáhne velmi vytrvalý déšť. Český hydrometeorologický ústav vydal v úterý dopoledne...

Další z rubriky

Hostem Rozstřelu bude Pavel Svoboda, lídr KDU-ČSL do eurovoleb

Lídr lidovců do eurovoleb Pavel Svoboda

Hostem středečního pořadu Rozstřel na iDNES.tv bude Pavel Svoboda, lídr KDU-ČSL pro volby do Evropského parlamentu. Z...

V českých školách chybí stovky učitelů. Ministr Plaga plánuje řešení

Ministr školství Robert Plaga (4.4.2019)

Ve školách chybí aktuálně přibližně 1 800 pedagogů. Zhruba devět procent výuky navíc zajišťují nekvalifikovaní učitelé...

Astroláb opraveného pražského orloje se musí domalovat, není vidět soumrak

Astronomická deska byla v minulosti zmodernizovaná a neodpovídala původní době...

Pražský magistrát opět nechá upravit podobu ciferníku orloje na Staroměstské radnici. Část zobrazující soumrak nebyla...

Najdete na iDNES.cz