Cum sparg hackerii conturile utilizatorilor de Uber

Mai multe persoane din America și Marea Britanie s-au trezit cu facturi uriașe pentru călătorii cu Uber pe care nu le-au făcut.

|
mai 5 2015, 9:21am

După ce au apărut pe piața neagră a internetului mai multe conturi de Uber sparte de hackeri, vândute la prețul de un dolar, victime atât din SUA, cât și din Marea Britanie s-au plâns de călătoriile frauduloase din conturile lor, pe care se presupunea că le-au făcut, după ce s-au ales cu facturi în valoare de sute de dolari. Acum, un hacker a arătat pentru VICE cum au fost sparte conturile.

Totul a început cu o discuție de pe un forum despre hackeri, în decembrie 2014. Acolo era promovat un document care, combinat cu un program de spart conturi, ajuta hackerii să intre în conturile de pe site-uri. Documentul ăsta de configurare îi spune programului cum să interacționeze cu un anumit site, așa că pot avea loc mai multe conectări simultan și foarte repede.

Hackerul care ne-a arătat discuția, cu numele de avatar „Aaron", a explicat cum funcționa procesul. Mai întâi, un hacker va scotoci după toate informațiile și combinațiile de parole care se găsesc în background-ul digital. Lista asta cu detalii de conectare va fi apoi încărcată într-un program de computer, alături de documentul de configurare al site-ului Uber. De aici, programul va trece prin toate datele de conectare și le va încerca pe site-ul Uber, în speranța că ele au fost folosite pentru crearea unui cont de Uber.

„E ca și cum ai verifica o listă de date și ai corela-o cu rezultatele unui anumit site", a spus Aaron într-o discuție criptată cu VICE.

Aaron a demonstrat apoi cum poți intra într-un cont Uber în câteva minute. El a testat 50 de combinații de mail-uri și parole de pe un site de jocuri și două au mers la perfecție pe Uber. Aaron a spus că astea au fost doar un exemplu și apoi a trimis câteva screenshot-uri cenzurate cu istoricul de călătorii al utilizatorului și câteva detalii de pe cardul de credit.

Să folosești aceeași adresă de email și parolă pe mai multe dispozitive e o practică neinspirată când vine vorba de siguranța contului, iar asta se pare că e originea conturilor sparte. În ultimele articole, victimele au declarat pentru VICE că au folosit aceeași parolă de Uber și pe alte conturi.

Această informație susține declarațiile anterioare ale lui Uber că sistemul său nu a fost spart. Uber a răspuns cu următorul comentariu: „Pentru noi e prioritar să protejăm sistemul și pentru asta depunem un efort continuu. Folosim o varietate de metode pentru verificarea utilizatorilor și adăugăm mereu mecanisme noi ca să mărim siguranța.

După cum am declarat anterior: am investigat și nu am găsit nicio dovadă a unei spargeri, și-n plus am anunțat și autoritățile. E o oportunitate bună pentru a le reaminti oamenilor să folosească nume și parole puternice și unice și să evite să le refolosească pe mai multe site-uri și servicii."

„Și Uber e de vină pentru că nu are script-uri care să întârzie sau să prevină complet intervenția intrușilor care vor să facă un document de configurare ce poate sparge conturile pe site-ul lor", a spus Aaron.

Ryan Lackey, managerul de producție de la CloudFlare, un site de protecție, a venit cu o abordare mai elaborată. „Un CAPTCHA (un test mic pe care oamenii îl trec, dar computerele nu) e o cale bună pentru a restricționa numărul mare de tentative de spart parole", a scris într-un email. „Dar strică din experiența utilizatorului. Trebuie să te gândești cu atenție când sunt necesare, mai ales dacă e vorba de mobil – dacă Uber ar folosi CAPTCHA când fac o rezervare pentru o mașină, probabil aș trece la altă aplicație."

Lackey nu credea că Uber ar trebui să fie învinuit. În schimb, el a zis, „Adevărata vină o poartă cei care au vândut platforma și industria securității ca întreg, pentru că nu au oferit dezvoltatorilor de aplicații mobile opțiuni mai bune pentru conectarea utilizatorului."

O soluție posibilă ar putea fi „un dispozitiv cheie ascuns", care ar însemna că doar un telefon al unui utilizator înregistrat ar putea să comande un taxi Uber. Pe scurt, Lackey a spus, „Ai nevoie de ceva mai bun decât parole ca să-ți verifici utilizatorii."

În cele din urmă, Lackey crede că „cea mai mare vină e clar că o poartă infractorii care sparg conturile."

Traducere: Dana Alecu

Mai citește despre aplicații:
M-am angajat șofer la Uber, în București, ca să înțeleg de ce vor dispărea taximetriștii
Whiplr e o aplicație nouă pentru perverși
Am folosit o aplicație de dating pentru bogătani ca să mă bucur de cât mai multe chestii scumpe gratis

Mai multe de la VICE
Site-uri VICE