Mi hanno rubato l’account Uber

lyft uber hack

[su_label type=”warning”]AGGIORNAMENTO.[/su_label] Oggi è uscita una notizia che potrebbe spiegare molto i fatti accaduti a me e ad altri clienti dell’azienda e spiegati in questo articolo. Mi riferisco a questa notizia: Uber, rubati i dati di 57 milioni di clienti nel 2016.

[su_label type=”info”]UN PICCOLO APPUNTO.[/su_label] Scrivere questo articolo non è stato semplice per me. Ho sempre utilizzato Uber con grande soddisfazione e l’ho sempre supportato consigliandolo ad amici e parenti negli ultimi anni e mesi. Mi ci sono sempre trovato molto bene e ho sempre sostenuto che questo fosse il futuro. L’ho persino inserito come esempio di condivisione dell’auto all’interno della tesi universitaria che ho consegnato giusto giusto tre settimane fa. Questo per farvi capire quanto mi sia costato scrivere questo articolo andando contro una società che, sotto l’aspetto della sicurezza, non investe per nulla, almeno all’apparenza. Senza contare il servizio clienti troppo scarso per un’azienda così grande e che deve gestire così tante richieste, alcune molto importanti e che necessitano di un’assistenza tempestiva.

E’ fine marzo, una giornata come tante altre, quando ad un certo punto mi accorgo di qualcosa di strano. Nel giro di pochi secondi mi sono arrivati 10 SMS con all’interno un codice per attivare il mio numero di telefono sull’account Uber. Ovviamente io non sono né entrato nel mio account Uber né mi sono chiesto o immaginato che stesse per succedere quello che poi è in realtà avvenuto.

Lo screenshot qui sotto è stato preso proprio poco dopo che mi sono reso conto di ciò che era successo effettivamente e che vi spiego più avanti in questo articolo. Come si può notare dallo screenshot, Uber richiede di inserire il codice per confermare il numero di telefono, che io ho registrato da ormai diversi anni nell’applicazione. I messaggi provengono da un numero che ho appositamente coperto ed è di Milano (probabilmente la sede di Uber Italia). Quindi fin qui, a parte la mole di numeri, niente di strano. Inizialmente ho infatti pensato a qualche problema nei loro server.

IMG 0002

Passa poco tempo però finché mi sono fatto una domanda in particolare. Ossia se ci fosse effettivamente la possibilità che qualcuno stesse hackerando il mio account. Sinceramente però, avendo l’autenticazione in due fattori (2FA) impostata in quasi tutti gli account, non ho minimamente pensato a preoccuparmene. Anche perché presumevo che Uber avesse un suo sistema di controlli e sicurezza interno abbastanza efficace, come quello via SMS. Senza contare il fatto che cambiare il numero registrato non è assolutamente semplice (bisogna contattare la società stessa).

Passano 10 minuti esatti e mi arriva l’SMS che mi fa saltare sulla sedia con un nodo alla gola. Appena ho visto il pagamento autorizzato ho pensato a chi e come potesse avermi rubato la carta di credito. La mia carta infatti la utilizzo solo io e nessuno è a conoscenza né di codici né di altro. Dunque provate ad immaginare i miei pensieri in quell’istante. Poi leggo con calma e noto che l’addebito è da parte di Uber. A questo punto è chiaro: qualcuno è entrato nel mio account. Qualcuno mi ha rubato l’account Uber, hackerato, o come volete voi. Fatto sta che l’addebito è chiaro ed è da parte di Uber BV (Olanda).

IMG 00031

Entro subito nell’applicazione (sia ringraziato il cielo che questa volta, stranamente, non l’ho disinstallata come sono solito fare una volta tornato dai miei viaggi) e tac, mi arriva un altro SMS di storno della cifra (la differenza che vedete nel messaggio, di 4 centesimi, è la tariffa per la valuta estera, anch’essa comunque stornata). Probabilmente essendo entrato subito nell’app, Uber o chi per esso ha notato un’anomalia (la mia posizione GPS era a Padova e qui Uber non è presente da un bel po’) andando quindi ad annullare la corsa giusto in tempo per rimborsarmi la cifra.

Non è un caso che abbia ringraziato il fatto di avere l’applicazione bella che installata e con il login già fatto. Sì, perché probabilmente se non fosse stato per quello sarebbe stato molto più difficile rientrare nel mio account. Cambiato il numero di telefono e la password, avrei dovuto contattare Uber immediatamente. Già, Uber. Quell’azienda che ha un’assistenza clienti alquanto inefficace. Ah, non parlo di Uber Italia, bello che defunto o comunque relegato a periferia, ma di Uber USA. Ci mettono ore a rispondere sui social, attraverso i quali vi rimandano alle pagine di supporto presenti nel sito, dalle quali potete inviare una e-mail, alla quale a sua volta ci vuole un giorno prima che vi rispondano.

Ma il bello deve ancora venire. Già, perché in quel momento vado e controllo subito se sono stati cambiati dati al mio account. Ed ecco la sorpresa. Hanno cambiato il numero di cellulare registrato all’account. Come abbiano fatto resta per me un mistero (vi ricordo infatti che era impossibile persino per me da cambiare una volta inserito). Fatto sta che Uber, di fronte a questa evidenza posso dirlo, non è vulnerabile, di più. Un colabrodo di sistema aperto a tutti, dal quale dovete fare molta attenzione (leggasi: usare una password molto complessa ma soprattutto inserire una carta di credito con poco denaro all’interno).

IMG 00061

Ed eccolo qui il numero. Proviene dal Kazakistan, anche se la corsa, ve lo anticipo, non è stata effettuata lì. E nemmeno in Olanda, se ve lo siete chiesti quando avete letto sopra che l’addebito della corsa proveniva da Uber Olanda.

Stranamente non hanno cambiato la password o almeno non hanno fatto in tempo a cambiarla. Anche perché, ed anche qui per fortuna, l’accesso ad Uber l’avevo effettuato con Facebook. Quindi a poco sarebbe servito cambiarla per loro sotto questo aspetto, anche se mi avrebbero complicato la vita ancor di più.

La corsa in particolare non è stata proprio fatta, anche se dalla schermata principale dell’applicazione si capisce chiaramente che la richiesta è stata inoltrata da Mosca, e poi subito dopo annullata.

IMG 0005

Sarà un caso, ma proprio oggi la pagina personale di Uber via web è irreperibile. Non saprei dirvi il motivo, fatto sta che la coincidenza è alquanto strana. Però vabbè, non facciamo complottismi qua, non ce n’è bisogno visto che di evidenze ce ne sono già troppe.

Schermata 2017 03 30 alle 02.31.57

Uber: un’azienda che non ascolta abbastanza i suoi clienti ed è difficilmente reperibile

La cosa che proprio non mi va giù è il totale menefreghismo di Uber. Sembra addirittura di avere a che fare con un’azienda fallita o non più in attività. Su Twitter rispondono (ovviamente solo in inglese) solo dopo 2 o 3 ore, se siete fortunati, e solo per rimandarvi alle pagine di assistenza del sito web. Pagine di assistenza del sito web dove vi ritroverete davanti ad un form da compilare con la vostra mail e numero di telefono oltre al messaggio.

Armatevi di santa pazienza perché se non rispondono sui social o lo fanno solo a campione dopo ore, figuratevi se si prendono la briga di rispondere alle vostre e-mail. Eppure il topic c’è ed è scritto bello chiaro sul loro sito, raggiungibile qui: Credo che il mio account sia stato violato | Uber. Qualsiasi società seria che riceve una e-mail con questo oggetto dovrebbe rispondere prontamente e preoccuparsi dell’accaduto. Ma non Uber, che evidentemente di serietà, almeno in questo ambito, ne ha davvero ben poca.

La risposta di Uber

Circa 18 ore dopo la mia richiesta di aiuto (inviata intorno alle 15.50, subito dopo aver notato la cosa, risposta ricevuta il giorno dopo intorno alle 10.30), Uber ha finalmente risposto alla mia e-mail aperta nell’apposito ticket relativo alle violazioni dell’account.

Ora voi starete pensando che gli uffici di notte non lavorano. Va bene, sono d’accordo. Ma Uber, gli autisti, di notte lavorano. Pensate se vi capita qualcosa mentre siete dentro alla vettura di Uber e dovete contattarli urgentemente. Impossibile. Senza contare che la mail l’ho inviata prima delle 16, un orario decisamente “lavorativo”. Aggiungete poi che ho utilizzato il form apposito per segnalare le violazioni dell’account, quindi una richiesta precisa e con estrema urgenza di assistenza. A mio avviso Uber non ha scuse in questo caso.

Dopo la prima risposta (che vedete aprendo lo spoiler qui sotto) ho richiesto maggiori informazioni su come fosse possibile che queste persone siano entrate nel mio account forzando il metodo di verifica del telefono e riuscendo a cambiarlo, nonostante anche per me fosse impossibile farlo. La risposta la trovate sotto alla prima, qui sotto nello spoiler (premete dove c’è il +).

[su_accordion]
[su_spoiler title=”Leggi la risposta di Uber alle mie domande” style=”fancy”]

Pima risposta:
Siamo molto dispiaciuti che le sia accaduto questo problema, Francesco.
Abbiamo provveduto a porre delle restrizioni di sicurezza al suo profilo in modo da accertarci che non si verifichino eventi simili in futuro. L’app le chiedera’ di verificare il metodo di pagamento ed altre informazioni per garantire la sicurezza dei suoi dati. La invitiamo inoltre a modificare la password immettendone una diversa che abbia magari una complessita’ maggiore.
Abbiamo provveduto a inserire nuovamente il suo numero di telefono che era stato in precedenza modificato.
In merito alla transazione che ha ricevuto le confermiamo che si tratta di un’ autorizzazione di pagamento che e’ stata prontamente annullata. In questo caso l’importo resta in hold in modo tale da verificare la transazione e la carta e viene prontamente annullata la transazione sbloccando l’importo.
Ci scusiamo ancora per quanto accaduto, ci preme informarla che la sicurezza dei suoi dati e’ una nostra priorita e lavoriamo alacramente per proteggere le sue informazioni.

Seconda risposta:
Hi Francesco
I’m sorry to hear about such a frustrating experience! I’ve checked your account details, and it Appears That someone may have accessed your account illegitimately. However, That does not mean we’re not taking precautions. Our team is working hard to Enhance security account and add additional protective features to keep your information safe.
As a security precaution, the password on your account Uber Has Been Reset. In order to log into your Uber account, you will need to create a new, unique password. You can update your password by visiting the Following link: https://auth.uber.com/login/forgot-password
With this new password you can be confident in continuing to use your account safely. This is Also a good opportunity to Ensure your login credentials are unique across multiple sites know your accounts remain secure.
If you have any issues with resetting your password, please let me know. I’m here to help Should any Further questions such as up!

[/su_spoiler]
[/su_accordion]

Non è un caso che la risposta alla seconda domanda sia stata in inglese. Le informazioni che avevo richiesto (riguardo la loro sicurezza interna) erano evidentemente scomode tanto che il reparto assistenza italiano di Uber ha trasferito la richiesta a Uber USA. La cosa che mi fa rabbia è che nella seconda risposta c’è scritto chiaramente “it Appears That someone may have accessed your account illegitimately”, ossia che “sembra che qualcuno possa essere entrato nel tuo account in modo non consentito”. Sì, avete capito bene. Non ne sono sicuri nemmeno loro di cosa e come sia potuto succedere, sebbene siano vittime di questi attacchi da oltre 3 anni (leggete sotto).
Inoltre ha “resettato” nuovamente la mia password nonostante l’avessero già fatto varie volte in precedenza, vabbè.

Tuttavia trovo almeno dignitosa la risposta in italiano dove si leggono, finalmente, delle scuse “ufficiali”. Per quanto riguarda invece la maggiore sicurezza non so dirvi, so che oggi ogni volta che aprivo l’app mi veniva richiesto ad ogni accesso di reinserire la password o rifare il login con i social network. Almeno fino a stasera, ossia fin quando tutto è tornato come prima.

La cosa invece che trovo sconcertante è che alla mia domanda dove sottolineavo la mia preoccupazione dei dati sottratti (all’interno oltre al numero di telefono e la email, c’erano anche i miei indirizzi di casa, il numero della carta e l’email di PayPal) mi è stato risposto con quel testo in inglese che sa tanto di e-mail automatica da mandare in questo tipo di situazioni. Almeno una breve spiegazione sull’accaduto avrebbero dovuta darla.

Non è una novità per i clienti Uber

Già, perché Uber non è nuova ad incappare in questo genere di problematiche. Sono diverse le testimonianze online di clienti incappati in questo genere di problemi. Basta farsi un giro su Facebook, ad esempio questi post di Luke e Tom, senza contare che ogni commento ai loro post trattano della stessa problematica:

Come potete notare facilmente, questi messaggi sono stati scritti 3 anni fa. Un tempo decisamente lungo e sicuramente sufficiente per risolvere una falla frequente e pericolosa, specie se si pensa che stiamo parlando di Uber, una società che nel 2015 è stata valutata 50 miliardi di dollari.

Eppure a quei messaggi Uber non ha nemmeno risposto. Tom chiede se esiste un numero di telefono da chiamare per queste ed altre emergenze, Ovviamente no, non esiste. Come non esiste una chat o un supporto in tempo reale. Ma nemmeno in tempo “differito” (un giorno di attesa è decisamente troppo in questi casi).

Se facciamo una ricerca su Google le cose non vanno meglio. Lilly Rockwell, dell’American-Statesman, racconta che il suo account è stato hackerato. Lo stesso scrive Tom Heyden di BBC News Magazine, che ci racconta come l’account Uber di suo padre è stato hackerato.

Le nostre identità private vendute a pochi spiccioli nel dark web

Non sto qui bene a spiegarvi che cos’è e come funziona il dark web, ma sappiate che è un mondo vasto. E molto. Diciamo che l’internet normale che conosciamo e vediamo rappresenta solo il 4% del mondo virtuale. Il resto, beh, pensateci.

Fatto sta che gli hacker che ci rubano le password spesso non sanno cosa farsene. Ci sono però altre persone che sono decisamente interessate a questi dati, ma che magari non hanno le capacità informatiche giuste per sferrare un attacco atto a rubare dei dati sensibili. Così gli hacker mettono in vendita questi dati alle persone interessate. Si tratta di dati importantissimi e riservatissimi venduti a pochi spiccioli (anche meno di un dollaro), come riportato in un articolo di James Billington dell’International Business Times in cui si parla proprio dei dati di Uber hackerati e venduti nel dark web per un valore superiore a quello dei dettagli sulle carte di credito, e di come i clienti lamentino corse fantasma.

Ne parlava anche Repubblica in un articolo recente, di metà novembre 2016, in cui viene spiegato il business delle identità rubate e il grande mercato che vi è dietro.

Ma quando hanno attaccato Uber questi hacker?

Bisogna tornare indietro al 2015. La notizia è uscita il 30 marzo 2015 su The Hacker News. Venivano annunciati letteralmente migliaia di account bucati e messi in vendita sui siti e le bacheche del deep web (la rete nascosta). Uber all’epoca non confermava di aver subito un furto di dati. Evidentemente non era così.

In un articolo del Corriere datato aprile 2015 si sottolineava come su Uber fosse impossibile modificare la password da app mobile e come questo fosse un grosso problema in caso venisse rubato l’account. Fortunatamente l’azienda “si è svegliata” e ha inserito la possibilità di farlo (ve lo posso confermare perché l’ho fatto oggi stesso). Tuttavia nell’articolo viene anche indicato come sia impossibile cancellare prontamente il proprio account, cosa molto grave nel caso di furti di identità. Come spiega il Corriere per cancellare l’account Uber “bisogna mandare una mail e aspettare una risposta dal gestore che può prendersi fino a 4 settimane per evadere la pratica”.

Immaginatevi ora cosa può fare un hacker in 4 settimane con il nostro account. E infatti molti utenti negli Stati Uniti hanno ricevuto addebiti di centinaia di dollari, accorgendosi solo dopo varie settimane che qualcuno si faceva le corse gratis a sue spese.

Ma non è finita qui. Su Uber infatti, provate per credere, è impossibile rimuovere il metodo di pagamento primario a meno che non ne abbiamo un secondo inserito. Una cosa a mio avviso inaccettabile e che va contro la sicurezza dei clienti dell’azienda.

Aggiorno infine questo articolo con l’ennesimo attaccato hacker di Uber, svelato e ammesso con oltre un anno di ritardo dalla stessa azienda: Uber, rubati i dati di 57 milioni di clienti nel 2016.

Il problema degli addebiti delle corse è solo l’ultimo dei problemi

Oltre al problema degli addebiti, c’è un altro problema molto grosso. I dati sensibili inseriti nel nostro account Uber non si limitano all’indirizzo e-mail. Oltre ad esso sono presenti il nostro numero di telefono, il numero della carta di credito, l’email dell’account PayPal (se l’abbiamo inserito), il nostro nome e cognome e gli indirizzi della nostra abitazione e del nostro ufficio (se inseriti). Questi ultimi, tuttavia, potrebbero venire individuati comunque dagli hacker tramite lo storico delle corse e attraversi la geolocalizzazione. Insomma, il furto di dati va al di là del semplice utilizzo dell’app con i soldi altrui.

A questo, purtroppo, Uber non ha voluto rispondermi.

Uber dovrebbe agire immediatamente e dare delle spiegazioni (oltre alle scuse) ai propri clienti

Mi aspetterei, dopo oltre tre anni di attacchi e di clienti che subiscono questo tipo di problematiche, una risposta ufficiale dell’azienda dove si scusa per le misure troppo superficiali in campo sicurezza. Il danno ai clienti dell’azienda, come detto, vanno oltre al semplice danno patrimoniale, quindi ritengo che le scuse siano il minimo.

Cara Uber, impegnati a rendere il tuo servizio meno vulnerabile, perché attualmente lo è tanto quanto un qualsiasi servizio sconosciuto presente nel web. E poi, nel 2017, qualsiasi azienda che si rispetti adotta un processo di autenticazione a due fattori (leggasi 2FA), appunto per prevenire queste situazioni spiacevoli. Uber, si legge in rete, lo adotta, ma solo nelle nazioni in cui è stata obbligata a farlo dalle leggi locali (vedasi l’India). Dopo 3 anni, cara Uber, potresti almeno rispondere e chiedere scusa ai tuoi clienti, oltre ad adottare un metodo di autenticazione più sicuro e ad incrementare il tuo servizio clienti?. Grazie, un tuo affezionato cliente.

Un grazie a Greta ❤️ che ha cercato informazioni, testimonianze e fonti da aggiungere come supporto alla tesi di questo articolo. Seguitela su Squerz.com!

Fonti utilizzate per questo articolo:
– http://www.512tech.com/technology/what-learned-about-fraud-when-uber-account-was-hacked/jmefrE0IuJxAM63Ie3HT9L/
– https://amp.ibtimes.co.uk/hacked-uber-accounts-sold-dark-web-more-credit-card-details-users-complain-ghost-rides-1539042
– http://seigradi.corriere.it/2015/04/01/hanno-hackerato-uber-e-io-non-mi-sento-tanto-bene/
– http://www.repubblica.it/economia/rapporti/osserva-italia/mercati/2016/11/17/news/identita_rubate_il_grande_mercato_nero_della_rete-152180697/
– http://www.bbc.com/news/magazine-32900600
https://www.quora.com/How-do-you-turn-on-two-factor-authentication-for-Uber
– https://www.facebook.com/uber/posts/669912219715733
– https://www.facebook.com/uber/posts/781910958515858

Pubblicato in

Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.