Kasírovali ho moskevští řidiči Uberu. Spal v Praze
Slabé zabezpečení taxiaplikace umožňuje snadné zneužití ukradených hesel.
Během úterního odpoledne si Peter Antalík v práci všiml, že má na mobilním telefonu několik zpráv v azbuce. Považoval je za spam. Během dne ale přibývaly. Šlo o upozornění taxiaplikace Uber, díky níž si běžně objednával odvoz. Psalo se v nich, že řidič je za chvíli na místě.
To Antalíka znepokojilo. Zkoušel se dostat přímo do aplikace, ale neúspěšně. Přihlašovací údaje nefungovaly. Zkusil tedy kontaktovat Uber, ale to lze jen prostřednictvím formuláře na webových stránkách. Nakonec se mu přece jen – přihlášením přes Facebook – podařilo do aplikace dostat.
Zjistil tak, že účet nyní funguje na e-mailu s doménou mail.ru a kazašském telefonním čísle. A hlavně ve výpisu jízd odhalil, že někdo od noci, kterou Antalík prospal ve svém pražském bytě, jezdí na jeho účet po Moskvě. Dohromady deset jízd vyšlo v přepočtu na víc než šest tisíc korun.
Jízdy byly placené platební kartou, jejíž číslo se ukládá do aplikace. „To jsem už zavolal do banky a kartu nechal zablokovat,“popisuje Antalík.
Z aplikace totiž nic zablokovat nemohl. Chvíli se snažil alespoň rušit objednávky, jež stále někdo v Rusku posílal. Po zablokování karty bankou nastal klid.
Uber na dotaz MF DNES potvrdil, že Antalíkovy údaje někdo zneužil. „Došlo k odcizení uživatelského jména a hesla neznámou třetí stranou,“uvedla mluvčí firmy Miroslava Jozová.
Komunikovat s poškozeným však firma začala až po téměř deseti hodinách od nahlášení problému, jak Antalík dokládá snímkem komunikace se zákaznickou podporou, který má MF DNES k dispozici.
Mluvčí firmy nicméně tvrdí, že „v tomto případě byla žádost okamžitě vyřešena a uživatel byl informovaný o zabezpečení jeho účtu“. Okamžitě pro firmu znamená do 15 hodin.
V první odpovědi Uberu navíc bylo, že žádný účet pod jeho jménem nemohou najít (což bylo způsobeno právě tím, že byl napaden a přihlašované údaje byly změněny). E-mail o vyřešení situace potom přišel ve středu po sedmé ranní v reakci na další stížnost. Tedy v době, kdy již Antalík problém vyřešil s bankou.
Uber tvrdí, že peníze, které banka před zrušením karty zaúčtovala, pošle Antalíkovi zpět.
Uber má v zabezpečení dle popsaného příkladu velké mezery. Myslí si to i technický ředitel antivirové společnosti Eset Miroslav Dvořák.
„Přidání dalšího zařízení k účtu spárovaného s platební kartou, bez dalšího ověření, je nepochopitelný přístup Uberu k bezpečnosti citlivých údajů svých klientů,“říká Dvořák s odkazem na to, že obdobné problémy vedly u bank už před mnoha lety k zavedení vícefaktorového ověřování. Tedy ochrany spočívající typicky v jednorázovém hesle zaslaném na mobilní telefon.
„Překvapuje mě, že Uber opakuje jejich chyby,“říká Dvořák. Pro upřesnění: kartu lze přes aplikaci zneužít jen k platbám řidičům za jízdy. K samotným údajům, jako je číslo karty, platnost a bezpečnostní trojčíslí, pomocí nichž by si útočník mohl například objednávat věci z e-shopů, se nedostane.
Na otázku, jak často k neoprávněným vniknutím do účtů Uberu dochází, Jozová neodpověděla. Zahraniční média už před časem popisovala obdobné případy, které se uživatelům stávaly na jiných trzích. Celkem rozvinutý je podle nich i trh s ukradenými údaji uživatelů Uberu.
Právě proto, že stačí jen jméno a heslo a můžete jezdit, jsou podle Dvořáka z Esetu údaje z taxiaplikace na černém trhu ceněné. „Zatímco cena údajů například k netflixovému účtu se pohybuje pouze kolem 0,76 dolaru a u facebookového účtu okolo tří dolarů, cena odcizených údajů pro Uber jsou čtyři dolary. Zde platí, že čím je jednodušší přístupové údaje zneužít, tím je cena vyšší,“říká odborník na kybernetickou bezpečnost.