Как мошенники могут накататься за ваш счет, воспользовавшись Uber

Как мошенники могут накататься за ваш счет, воспользовавшись Uber

10 июля 2017 г.

Михаил Журенков

Как обещал, поругаю безопасность Uber. Полная история с хронологией событий. Сразу скажу что пользуюсь только официальным приложением Uber на телефоне, в сайт с компа ни разу не логинился, к партнерам-акциям юбера тоже и вообще ездил-то на нём пару раз.

Ну и кто меня не знает - безопасность у меня всегда граничит с паранойей.

Вчера внезапно я получил e-mail о том что в мой аккаунт был выполнен вход с неизвестного адреса. Поскольку находился за рулем, решил разобраться когда доеду - мало ли, может на телефоне VPN переключился непонятно куда.

Затем внезапно от Uber приходят 4 смс-кода непонятно для чего. Одна мысль - недавно купил новый телефон и видимо оно слегка сдурело. Доеду, посмотрю что и как, напоминаю что нахожусь за рулем и не до этого.

Через 5 минут приходит e-mail о том что в моём аккаунте были изменены e-mail и телефон.

МИНУС: хакер может поменять ваш e-mail и телефон, не имея доступа ни к тому ни к другому.

МИНУС: постфактум вас только извещают, откатить процедуру вы уже не можете.

Я доезжаю до места назначения, открываю приложение Uber.

МИНУС: в аккаунте был изменен e-mail и телефон, тем не менее меня пускает.  Хотя в данный момент для меня это плюс. А если бы я был не я? )

Вижу что данные действительно изменены. Надо сказать что за юбер я всегда платил только кешем, но вспоминаю что там прикручен мой PayPal. Открываю настройки платежей и пытаюсь его удалить. Получаю сообщение "вы не можете удалить единственный платежный метод" и охреневаю.

МИНУС: даже если вы каким-то чудом получили доступ в свой аккаунт, вы просто не можете удалить свои платежные данные. Спасибо Юберу за классную фичу для воров.

Ну к счастью палка это вам не карта, захожу в PayPal и убираю авторизацию платежей для Uber. Заодно временно удаляю оттуда карту на всякий случай, до проверки прав платежей на компе, ибо всё делаю с телефона. Оно конечно даёт мне удалить "единственную платежную карту", ха-ха, PayPal на безопасности съел собаку, его делала команда в который был даже сам Илон Маск, а не какие-то школьники за еду.

Вспоминаю что хотел снять скрин с данными взломщика (email/телефон), но меня уже не пускает. Хрен с ним - восстанавливаю приложение Uber из вчерашнего Titanium Backup и спокойно захожу в систему.

МИНУС: даже если в аккаунте изменено всё, старые сессии авторизации продолжают действовать. Это вам не Google который тут же убивает авторизацию на всех подключенных девайсах.

Пишу в службу поддержки так мол и так. Отдавайте моё. Проверяю в PayPal что всё чисто и возвращаю карту на место.

Примерно через сутки приходит ответ - изменение данных откатили, аккаунт вам вернули

ПЛЮС: аккаунт вернули
МИНУС: прошли почти сутки. Был бы каким лохом - уже бы накатали за мой счёт

Надо сказать что авторизацию в Uber я использовал только через Google, а там у меня в свою очередь двухфакторная. Ну да теперь уже не могу утверждать. Тем не менее, вторая фраза службы поддержки сильно меня озадачила:

"Ваш аккаунт был взломан потому что вы используете слабый пароль"

Как они могут знать какой пароль я использую? Да хоть 123. У меня только два варианта и оба огромный МИНУС:

- они хранят все пароли пользователей в открытом виде.
- у них регулярно происходят утечки базы паролей и они предполагают что их легко расшифровать.

Буду ли я после этого пользоваться Uber? Возможно. Буду ли там платить по безналу? LOL

p.s. в комментах уже развернулась дискуссия "подловили на днс-спуфинг, сам про**ал пароль" - нет, не подловили и не про**ал. Но пост вообще не о том, пост о том что в системе существует десяток косяков безопасности, заканчивая тем что в сервисе такого размера украденный пароль просто не должен давать вообще qhiquqittiqdxkmp ничего.

uainfo.org