fbpx

О странном списании денег с карты в Uber

О странном списании денег с карты  в Uber рассказывает Яков Филиппенко:

По давней и доброй традиции злоумышленники в очередной раз получили доступ к моей кредитной карте и мне пришлось ее заблокировать. В этот раз правда все было сделано чуть более изощренно чем в прошлые.
В этот раз они каким-то образом получили доступ к моему аккаунту в uber’е и поменяли email, о чем мне пришло письмо, которое я проигнорировал.
Через 8 часов мне пришла смска от Тинькова, что деньги были списаны с моей кредитной карты на Uber. Дальше процесс в принципе у меня отработанный: созваниваешься, блокируешь карту, идешь к любому банкомату и пытаешься снять деньги ну и т.д.
Тиньков, в принципе, более удобно организовал эту процедуру чем Альфа-Банк, хотя бы не надо в банк ехать писать заявление.
Что в этот раз отличалось от прошлого — это переписка с Uber’ом. Они после авторизации смогли восстановить мои данные, вернуть email и сделать refund. При этом refund они сделали отменив ту поездку, за которую собственно деньги и были списаны.
Оказывается я практически 6 часов катался по Москве и наездил чуть больше 100 км.
Возил меня некий Руслан.
Собственно интересно,
а) как они это сделали (я знаю, что убер можно заказать по телефону, но вроде бы как не в России; при этом они поменяли мой email, а значит они получили доступ к моему аккаунту, а значит в uber’е есть дырки и все приблуды вроде PCI DSS-сертификатов уже давно не актуальны).
б) что сделает Uber: просто отключит водителя (или даже не будет этого делать), будет ли обращаться в полицию?
У меня в голове есть несколько схем, которыми злоумышленники могли получить доступ к моему аккаунту. Часть из них более вероятна в зависимости от того, что в России я был 4 месяца назад последний раз. BTW. Вчера видел рекламу, что в штатах происходит фрод каждые 2 секунды. Это очень массовая проблема. Каждый раз я перевыпускаю карту. Ну каждый из тех трех раз что были. Сейчас тоже.
У них похоже воспроизводится вот этот баг: Все uber-механики рассчитаны на то, что ты привязываешь все свои данные, а рутинные операции выполняешь одной кнопкой.

Все алгоритмы безопасности (в т.ч. авторизации) ориентируются на «логику email’ов» (т.е. email’ов у человека может быть много, но никто не додумается передавать свой email в пользование другому человеку).

И теперь все сервисы резко начали использовать телефоны вместо email’ов. Это удобно: можно позвонить, смс отправить. Сим-карту намного сложнее получить чем зарегистрировать email.

Подписывайтесь на телеграм-канал Вкладер и потом не говорите, что вас не предупреждали: https://t.me/vklader.

А теперь интересное: номера телефонов передаются (в отличии от email’ов) другим людям по желанию оператора.

Теперь получается, что я могу получить доступ к привязанной карте просто восстановив пароль с помощью моего мобильного номера, который раньше принадлежал другому человеку.

У lyft’а это, например, действительно работает.

Источник