Dylana Wheelera původně americké úřady vyšetřovaly kvůli tomu, že se už ve čtrnácti letech stal součástí skupiny, která se nabourala na servery největších amerických herních studií. Hackeři pak roky kradli přísně utajený kód dosud nevydaných počítačových her v miliardových hodnotách. Dostali se také k simulátoru vrtulníku Apache, který jedna z firem vyvíjela pro americkou armádu, a debatovali o tom, že ho „prodají Arabům“.
Dokonce získali plány herní konzole Xbox One mamutí společnosti Microsoft. V šíleném plánu dle nich vytvořili vlastní variantu zařízení dlouhou dobu předtím, než vůbec mělo přijít na trh, a snažili se ho prodat. Prototyp Xboxu od nich ovšem nakonec v utajení koupila FBI.
Čtyři Wheelerovi spolupracovníci skončili ve vězení. Wheeler z potíží vybruslil. Když ho ale jako IT experta zaměstnala ostravská firma, hacker v roce 2017 využil bezpečnostní zranitelnost v karetním platebním terminálu, na kterou firma předtím přišla. A přímo z jejích účtů vysál na 1,4 milionů korun a opět prchl. Tentokrát do Velké Británie.
V bezpečnostním ohrožení jsou desítky tisíc obchodů či restaurací v Česku, které model platebních terminálů používají.
U Okresního soudu v Ostravě dnes již třiadvacetiletý Wheeler letos v lednu souhlasil s tím, že výměnou za podmínku přizná vinu, že svého někdejšího zaměstnavatele o peníze opravdu připravil. Dokument má MF DNES k dispozici.
Nedostatek v nastavení terminálů, přes které v Česku protékají miliardy, však stále opravený není. MF DNES ho z bezpečnostních důvodů nebude popisovat do detailů. Banky odmítají potíž komentovat, je pravděpodobné, že se týká více než jedné z nich, kterou při krádeži obalamutil přímo Wheeler.
„Kdokoliv, kdo se dostane k platebnímu terminálu, který například v restauracích vrchní běžně nechávají ležet na stolech, může převrátit jeho chod. Místo toho, aby si pomocí něho nechal peníze z karty strhnout, naopak na svou kartu vyčerpá peníze z účtu obchodníka. Stačí znát speciální PIN, který je ale ve výchozím stavu u všech obchodníků stejný a snadno odhadnutelný. Většina z nich si ho nezmění,“ popsal Adam Koudela z kyberbezpečnostní firmy XEVOS Solutions, která na chybu přišla a Wheelera zaměstnávala.
Je to jako reklamovat boty
Mechanismus je určený pro případy, kdy zákazník reklamuje třeba boty a obchodník mu takto může peníze rovnou vrátit zpět na kartu. Wheeler však ukázal, že se dá snadno zneužít.
Jak si XEVOS vyzkoušel přímo na sobě, banka navíc nebyla schopná platby blokovat jako podezřelé. Většina z 1,4 milionu tak skutečně odešla na Wheelerovu australskou kartu.
A to navzdory tomu, že firma na účtu propojeném s terminálem v tu chvíli tolik peněz neměla a nikdy v minulosti žádné vratkové platby neprováděla. Wheeler si přitom nechal sedmkrát za sebou vyplácet podezřelé částky 123 456,78 koruny a 234 567,89 koruny.
„Až po necelém týdnu mi z banky volali, že vracíme na nějakou kartu statisíce a jestli o tom víme,“ dodal Koudela. Wheeler většinu peněz nakonec firmě vrátil. XEVOS se však dodnes s bankou soudí ještě o téměř 300 tisíc.
Banka (jejíž název rovněž redakce z bezpečnostních důvodů nezveřejňuje - pozn. red.) konkrétní případ komentovat nechce.
„Transakce typu Návrat je specifický typ transakce, který je využíván obchodníky v případech, kdy zákazník vrací zakoupené zboží, které bylo předtím zaplaceno kartou. Transakci lze provést na platebním terminálu nebo na základě žádosti, kterou nám obchodník zašle. V obou případech musí být požadavek autorizován...“ konstatuje pouze velmi obecně.
Ze soudních dokumentů, které má MF DNES k dispozici, přitom plyne, že policie při prohlídce Wheelerova ostravského bydlení zabavila také tiskárnu a pětici neumělých padělků pětitisícikorunových bankovek.
Samotného hackera se MF DNES kontaktovat nepodařilo. Vše nasvědčuje tomu, že po problémech v Česku žije ve Velké Británii.
Jeho jméno se v médiích naposledy objevilo před měsícem, když vyšlo najevo, že ho na londýnském veletrhu napadl zástupce firmy, která vyrábí software pro kasina. Wheeler prohlašoval, že se společnost pokoušel upozornit na závažné nedostatky v jejím softwaru. Firma se brání, že se ji snažil vydírat.
Wheeler ve Spojeném království provozuje firmu Day After Exploit, která se věnuje bezpečnosti.
A dlouhodobě trvá na tom, že v minulosti nic špatného neudělal.
Ferrari pro lepší zdraví
„Vím, že došlo k několika věcem, které se nejspíš stát neměly. Neměl jsem o nich podrobné informace, a tak jsem na ně nemohl nikoho upozornit, ani jsem nevěděl, jak tohle počínání zastavit,“ vykládal před lety Českému rozhlasu, kterému poskytl rozhovor.
Wheeler se od té doby zviditelnil třeba tím, že na internetu vypsal sbírku na půl milionu dolarů na své nové ferrari, protože by mu prý pomohlo vylepšit jeho zdraví.
Z masivního skandálu, do něhož se zapletl jako čtrnáctiletý, se zřejmě definitivně dostal. Na rozdíl od svých čtyř přátel. Věc detailně vyšetřovala FBI a skupinu vinila z toho, že jednotlivé firmy připravila o software v hodnotě 2,5 miliardy korun.
„Jsem čistý“
Američané tehdy mladistvého hackera nechali Australanům, aby ho potrestali. Hrozilo mu až deset let vězení.
Krátce poté, co měl odevzdat pas, uprchl Wheeler právě do České republiky. Díky českým kořenům od té doby využívá zdejší doklady, na základě kterých může volně cestovat po světě. Za pomoc s útěkem však Austrálie na více než dva roky vězení odsoudila jeho matku.
„Minulost je za mnou. Snažím se být nyní tak transparentní, jak to jen jde,“ řekl nyní serveru Ars Technica.
