MENU

Как мошенники могут накататься за ваш счет, воспользовавшись Uber

3421 0

Как обещал, поругаю безопасность Uber. Полная история с хронологией событий. Сразу скажу что пользуюсь только официальным приложением Uber на телефоне, в сайт с компа ни разу не логинился, к партнерам-акциям юбера тоже и вообще ездил-то на нём пару раз.

Ну и кто меня не знает - безопасность у меня всегда граничит с паранойей.

Вчера внезапно я получил e-mail о том что в мой аккаунт был выполнен вход с неизвестного адреса. Поскольку находился за рулем, решил разобраться когда доеду - мало ли, может на телефоне VPN переключился непонятно куда.

Затем внезапно от Uber приходят 4 смс-кода непонятно для чего. Одна мысль - недавно купил новый телефон и видимо оно слегка сдурело. Доеду, посмотрю что и как, напоминаю что нахожусь за рулем и не до этого.

Через 5 минут приходит e-mail о том что в моём аккаунте были изменены e-mail и телефон.

МИНУС: хакер может поменять ваш e-mail и телефон, не имея доступа ни к тому ни к другому.

Читайте также: Феномен. Любой западный сервис, попадая в наши реалии, быстро превращается в г*вно - Кенигштейн

МИНУС: постфактум вас только извещают, откатить процедуру вы уже не можете.

Я доезжаю до места назначения, открываю приложение Uber.

МИНУС: в аккаунте был изменен e-mail и телефон, тем не менее меня пускает.  Хотя в данный момент для меня это плюс. А если бы я был не я? )

Вижу что данные действительно изменены. Надо сказать что за юбер я всегда платил только кешем, но вспоминаю что там прикручен мой PayPal. Открываю настройки платежей и пытаюсь его удалить. Получаю сообщение "вы не можете удалить единственный платежный метод" и охреневаю.

МИНУС: даже если вы каким-то чудом получили доступ в свой аккаунт, вы просто не можете удалить свои платежные данные. Спасибо Юберу за классную фичу для воров.

Ну к счастью палка это вам не карта, захожу в PayPal и убираю авторизацию платежей для Uber. Заодно временно удаляю оттуда карту на всякий случай, до проверки прав платежей на компе, ибо всё делаю с телефона. Оно конечно даёт мне удалить "единственную платежную карту", ха-ха, PayPal на безопасности съел собаку, его делала команда в который был даже сам Илон Маск, а не какие-то школьники за еду.

Вспоминаю что хотел снять скрин с данными взломщика (email/телефон), но меня уже не пускает. Хрен с ним - восстанавливаю приложение Uber из вчерашнего Titanium Backup и спокойно захожу в систему.

МИНУС: даже если в аккаунте изменено всё, старые сессии авторизации продолжают действовать. Это вам не Google который тут же убивает авторизацию на всех подключенных девайсах.

Пишу в службу поддержки так мол и так. Отдавайте моё. Проверяю в PayPal что всё чисто и возвращаю карту на место.

Примерно через сутки приходит ответ - изменение данных откатили, аккаунт вам вернули

ПЛЮС: аккаунт вернули
МИНУС: прошли почти сутки. Был бы каким лохом - уже бы накатали за мой счёт

Надо сказать что авторизацию в Uber я использовал только через Google, а там у меня в свою очередь двухфакторная. Ну да теперь уже не могу утверждать. Тем не менее, вторая фраза службы поддержки сильно меня озадачила:

"Ваш аккаунт был взломан потому что вы используете слабый пароль"

Как они могут знать какой пароль я использую? Да хоть 123. У меня только два варианта и оба огромный МИНУС:

- они хранят все пароли пользователей в открытом виде.
- у них регулярно происходят утечки базы паролей и они предполагают что их легко расшифровать.

Читайте также: По вине водителя Uber произошла авария в Киеве. У девушки изуродовано лицо. ФОТОФАКТ

Буду ли я после этого пользоваться Uber? Возможно. Буду ли там платить по безналу? LOL

p.s. в комментах уже развернулась дискуссия "подловили на днс-спуфинг, сам про**ал пароль" - нет, не подловили и не про**ал. Но пост вообще не о том, пост о том что в системе существует десяток косяков безопасности, заканчивая тем что в сервисе такого размера украденный пароль просто не должен давать вообще _ничего_

Константин КУКУШКИН


Повідомити про помилку - Виділіть орфографічну помилку мишею і натисніть Ctrl + Enter

Сподобався матеріал? Сміливо поділися
ним в соцмережах через ці кнопки

Інші новини по темі

Правила коментування ! »  
Комментарии для сайта Cackle

Новини