Během úterního odpoledne Peter Antalík v práci zaznamenal, že má na mobilním telefonu mezi jinými i několik notifikací v azbuce. Považoval je za spam. Během dne ale přibývaly. Všiml si, že jde o upozornění alternativní taxiaplikace Uber, kterou si běžně objednával odvoz. Psalo se v nich, že řidič je za chvíli na místě.
Notifikace v telefonu, podle nichž si Antalík všiml, že někdo v Moskvě používá jeho uberový účet.
To Antalíka znepokojilo. Zkoušel se dostat přímo do aplikace, ale neúspěšně. Přihlašovací údaje nefungovaly. Zkusil tedy kontaktovat Uber, ale to lze jen prostřednictvím formuláře na webových stránkách. Nakonec se mu přeci jen – přihlášením přes Facebook – podařilo do aplikace dostat.
Zjistil tak, účet nyní funguje na e-mailu s doménou mail.ru a kazašském telefonním čísle. A hlavně ve výpisu jízd uviděl, že někdo od noci - kterou prospal Antalík ve svém pražském bytě - jezdí na jeho účet po Moskvě.
Moskevská pařba s drožkou za šest tisíc korun
Nejprve si neznámý „spoluuživatel” nejspíš na krátkých úsecích ověřoval, zda to opravdu funguje. Pak se ovšem rozjel: Podnikl jízdu z letiště Šeremetěvo do centra. Z centra na další letiště Vnukovo. Vrcholem byla šedesátikilometrová a přes půl druhé hodiny trvající jízda jihozápadně od metropole.
Výpis několika z deseti provedených moskevských jízd. V 10:44 je zaznamenána ta vůbec nejdražší.
Dohromady vyšlo deset jízd v přepočtu na víc než šest tisíc korun. Jak se Antalík hned přesvědčil v internetovém bankovnictví, jízdy byly placené jeho platební kartou, kterou má v aplikaci uloženou. „To jsem už zavolal do banky a kartu nechal zablokovat,” popisuje Antalík.
Z vlastní aplikace mu totiž nic zablokovat nešlo. Chvíli se snažil alespoň „típat” objednávky, které stále někdo v Rusku posílal. Po zablokování karty bankou problém ustal.
Uber na dotaz iDNES.cz potvrdil, že Antalíkovy údaje někdo zneužil. „Došlo k odcizení uživatelského jména a hesla neznámou třetí stranou,“ potvrdila česká mluvčí firmy Miroslava Jozová. Zároveň mluvčí firmy říká, že „v tomto případě byla žádost okamžitě vyřešena a uživatel byl informovaný o zabezpečení jeho účtu“.
Výpis z internetového bankovnictví Petera Antalíka s částkami strženými z jeho platební karty za jízdy moskevským Uberem.
To ale Antalík odmítá. Z jím poskytnutého snímku komunikace se zákaznickou podporou vyplývá, že na jeho dotaz z úterních 19:56 přišla odpověď druhý den ve tři čtvrtě na šest ráno. A to taková, že žádný účet pod jeho jménem nemohou najít (což bylo způsobeno nejspíš právě tím, že byl napaden a přihlašované údaje někdo změnil).
E-mail o vyřešení situace potom přišel po sedmé ranní v reakci na další stížnost. Tedy v době, kdy Antalík již situaci dávno vyřešil s bankou zablokováním karty. Uber slíbil, že v Moskvě projeté peníze (které banka zaúčtovala) pošle Antalíkovi zpět.
Pro upřesnění: kartu lze přes aplikaci zneužít jen k platbám řidičům za jízdy. K samotným údajům jako je číslo karty, platnost a bezpečnostní trojčíslí, pomocí nichž by útočník mohl odčerpat peníze přes jiný on-line platební portál, se nedostane.
„Přístup Uberu k citlivým údajům je nepochopitelný“
Přesto, že mluvčí Uberu v odpovědích na otázky iDNES.cz hned několikrát zmínila, že bezpečnost uživatelů je pro firmu prioritou, na první pohled je z popsaného případu vidět, že jsou právě v zabezpečení naopak velké mezery. Myslí si to i technický ředitel antivirové společnosti Eset Miroslav Dvořák.
Návod: Jak dobře nastavit hesloSilné heslo, které vás ochrání před zneužitím, musí být především unikátní  |
„Přidání dalšího zařízení k účtu spárovaného s platební kartou, bez dalšího ověření, je nepochopitelný přístup Uberu k bezpečnosti citlivých údajů svých klientů,“ říká Dvořák s odkazem na to, že obdobné problémy vedly u bank už před mnoha lety k zavedení vícefaktorového ověřování. Tedy identifikaci uživatele spočívající typicky ještě v jednorázovém hesle zaslaném na mobilní telefon. „Překvapuje mě, že Uber opakuje chyby bank,“ říká Dvořák.
Na konfrontaci s Dvořákovými konkrétními výtkami a otázku, proč Uber nechrání údaje svých klientů dvoustupňovou autorizací, odpověděla mluvčí Jozová následovně: „Děkujeme za názor. Na zabezpečeních neustále pracujeme a máme k tomu dedikovaný tým, který se tímto zabývá.“
Na otázku, jak často k neoprávněným vniknutím do účtů Uberu dochází, Jozová neodpověděla. Zahraniční média již ale dříve v podstatě shodné případy popisovala. V květnu 2015 vydala text o zkušenosti se zneužitím účtu BBC, o rok později hned několik poškozených vylíčilo své příběhy Guardianu. Na rozvinutý trh s kradenými údaji uživatelů Uberu upozornil už před dvěma roky server Motherboard.
Pohled do aplikace poté, co „nový uživatel“ změnil Antalíkovy kontaktní údaje.
Právě proto, že stačí jen jméno a heslo a můžete jezdit, jsou podle bezpečnostního experta Dvořáka údaje z taxiaplikace na černém trhu ceněné. „Zatímco cena údajů například k netflixovému účtu se pohybuje pouze kolem 0,76 dolaru a u facebookového účtu okolo tří dolarů, tak cena zcizených údajů pro Uber jsou 4 dolary. Zde platí, že čím je jednodušší přístupové údaje zneužít, tím je cena vyšší,“ vysvětluje odborník na kybernetickou bezpečnost.
Jezdí jen tak po městech, nebo sofistikovaně tunelují účty?
Není úplně jasné, k čemu se přesně ukradené údaje používají. Zda pouze k tomu, že na ně někdo bude pár hodin jezdit autem po městě po často zvláštních trasách, než na to zpravidla okradený přijde a jako Antalík zneužití znemožní.
A nebo zda jde o hackery, kteří pomocí našvindlování cest de facto vyvádějí peníze z karty na účet řidiče (který je také falešný). O takové praktice letos v lednu informoval opět server Motherboard. K dispozici není ale žádný věrohodný test a ani tedy není jasné, zda to opravdu funguje. Mluvčí Uberu využívání kradených údajů komentovat nechtěla.
Poznámka redakce: Peter Antalík pracuje jako kameraman pro iDNES.cz, rozhovor proběhl v pátek 28. dubna.
