Jeden z kibiców Toronto Blue Jays przestrzega innych przed zagrożeniami związanymi z zakupami biletów online, po tym jak z jego konta zniknęły drogie wejściówki, które kupił dla swoich rodziców. James Somersett i jego partnerka oszczędzali, by sprawić rodzicom wyjątkowy prezent – miejsca zaledwie dziewięć rzędów od domowej bazy na mecz Jays z Chicago White Sox 21 czerwca.
Bilety kupili przez platformę StubHub, ale ponieważ rodzice nie są zbyt biegli w obsłudze telefonów, Somersett zadzwonił do kasy biletowej Blue Jays, by upewnić się, iż będą mogli odebrać papierowe bilety w dniu wydarzenia. Gdy to robił, nieświadomie trwała już kradzież – jego hasło na StubHub zostało zmienione, a bilety przesłane na inne konto pod adresem [email protected], bez żadnej opłaty.
Somersett odkrył kradzież dopiero, gdy jego rodzice przybyli do Rogers Centre i okazało się, iż bilety zniknęły. W panice kupił nowe miejsca, co kosztowało go dodatkowe 600 dolarów. – „To miał być ich dzień. I prawie został im odebrany” – powiedział w rozmowie z CBC Toronto.
Eksperci ds. cyberbezpieczeństwa podejrzewają, iż padł ofiarą włamania, choć potwierdzenie tego wymagałoby śledztwa cyfrowego. Podkreślają, iż sytuacja Somersetta pokazuje, jak łatwo można stracić bilety, a zarazem jak kilka robią niektóre platformy sprzedażowe, by zapobiec takim sytuacjom.
Po tym jak StubHub odmówił zwrotu pieniędzy, Somersett zgłosił sprawę CBC Toronto. Uważał, iż kupując drugi zestaw biletów udowodnił, iż nie korzystał z pierwotnych. StubHub jednak stwierdził 1 lipca, iż nie widzi dowodów włamania, ani żadnej podejrzanej aktywności na koncie. Zamiast pomocy, otrzymał poradę, by zmienić hasło.
– „Zlekceważyli sprawę, jakby nic się nie stało” – stwierdził Somersett.
Dopiero gdy sprawą zainteresowały się media, StubHub zmienił stanowisko. Rzeczniczka firmy, Rachel Murray, poinformowała, iż Somersett otrzyma pełny zwrot oraz kupon o wartości 25% ceny biletów, przyznając, iż jego doświadczenie nie spełniło standardów serwisu.
Z kolei przedstawiciele Blue Jays po przeanalizowaniu sprawy zaoferowali Somersettowi bilety na przyszły mecz. Przyznali też, iż pracownicy infolinii powinni zauważyć brak biletów na jego koncie już w czerwcu, kiedy dzwonił z pytaniami.
Jak doszło do kradzieży?
Somersett odkrył, iż bilety zniknęły 19 czerwca. Jednak już kilka dni wcześniej – 13 czerwca – zaczął otrzymywać e-maile z informacją o próbach zmiany hasła. Ponieważ wiadomości zawierały zapewnienia, iż konto jest bezpieczne, jeżeli on sam nie zainicjował zmiany, zignorował je.
Claudiu Popa, ekspert ds. cyberbezpieczeństwa i współzałożyciel KnowledgeFlow Cybersafety Foundation, uważa, iż to wtedy doszło do przejęcia konta – prawdopodobnie przez automatyczny system (bota), który wykorzystał dane logowania wyciekłe wcześniej do sieci. Takie ataki odpowiadają za większość włamań na konta w serwisach sprzedaży biletów w Kanadzie.
Evan Light z Uniwersytetu w Toronto dodaje, iż jeżeli Somersett używał tych samych haseł na różnych serwisach (co sam przyznał), to oszust mógł bez trudu dostać się na jego konto e-mail i wykorzystać je do resetowania hasła na StubHub – bez żadnych dodatkowych zabezpieczeń, jak weryfikacja dwuetapowa czy pytania bezpieczeństwa.
– „StubHub ma poważną lukę w systemie zabezpieczeń” – ocenił Light, wskazując na błędne zapewnienie firmy, iż konto było bezpieczne. Jego zdaniem StubHub powinien wprowadzić skuteczniejsze środki ochrony kont użytkowników. – „To możliwe. Firmy po prostu powinny się bardziej postarać” – dodał.
Somersett przyznaje, iż po wszystkim bardziej dba o swoje bezpieczeństwo online, ale wciąż czuje rozczarowanie zachowaniem StubHub. Z kolei ofertę Jays określił jako „niesamowitą”.
Jak chronić się przed podobnymi sytuacjami?
- Zmieniaj hasła po każdym dużym wycieku danych.
- Używaj uwierzytelniania wieloskładnikowego opartego na aplikacjach.
- Przy zakupie biletów rozważ użycie wirtualnych kart płatniczych.
- Przed dzwonieniem do kasy sprawdź status biletu w systemie i poproś o potwierdzenie od sprzedawcy.
- W miarę możliwości korzystaj z biletów elektronicznych i aplikacji mobilnych do ich przechowywania.
English (US) · 
Polish (PL) · 
Russian (RU) ·