martes, 18 de julio de 2017

Fin de mi "caso Uber"

Que menos que recopilar alguna información sobre como ha quedado finalmente el tema del crackeo de mi cuenta de Uber tras las ultimas actualizaciones.

Lo primero: comentar que el gran problema, al menos para mi, fué la falta de información. Si el sábado por la noche, cuando intenté contactar con ellos, me hubieran respondido por twitter con mensaje directo diciéndome «estamos trabajando en ellooou», probablemente nadie se habría enterado de casi nada. El que 14 horas mas tarde no hubiera respuesta fué lo que desencadenó mi cabreo total. Y creo que con razón.

Me parece inexplicable que una empresa tan grande, con tantas zonas horarias que cubrir, no tenga un soporte 24/7 aunque sea para apaciguar y priorizar incidencias.

La resolución de la incidencia ha sido perfecta. Al menos para mi (y por desgracia, también para el asaltante de mi cuenta): Uber me ha devuelto todos los cargos que se hicieron esa noche. Espero que de alguna forma pillen a la persona o personas que lo hicieron.

He consultado con la compañia sobre la forma en la que el asaltante pudo tomar control de mi cuenta. Tomando los datos que me han proporcionado, el atacante se identificó con mis credenciales. Mi direccion de email (espero que no mi número de teléfono) asociado a la clave que tenía, habían sido usadas en algún servicio de forma temporal en algun momento de pasado. Creo que no lo había hecho en ninguno de las grandes filtraciones que ha habido y que se pueden consultar en HaveIBeenPwned, pero no puedo estar seguro y la única información que tengo es la que me ha dado Uber. Ya he realizado una batida de servicios cambiando claves.

Me sienta realmente mal que a mi, que evangelizo sobre estos temas, que suelo tener mucho cuidado con no tener la misma clave en varios sitios, y que en los últimos años uso directamente un generador de contraseñas, me hayan pillado de esta manera. Una lección de humildad para mi y un lección que debes aprender tu, que me estas leyendo, para que no te pase como a mi: nunca, nunca jamas uses la misma clave en dos servicios distintos

Reacciones por twitter: muchas gracias a todos los amigos que hicieron retweet cuando lo necesitaba. Gracias a todos los que me dieron ideas y gracias a todos los que han preguntado en que acabó la cosa. Gracias.

"Otras" reacciones por Twitter: algunos usuarios, cercanos al colectivo del Taxi, han aprovechado (o intentado) para arrimar el ascua a su sardina. Asi que tal como comentaba por Twitter esta mañana, quiero dejar claro que no soy precisamente un fan de Uber. Su politica empresarial, sus acciones para librarse de la competencia y su (hasta hace poco) CEO me han parecido siempre impresentables. No he usado nunca sus servicios y si puedo evitarlo, seguiré sin hacerlo. Pero si en algún momento tengo que elegir algún transporte con conductor, lo haré por delante de los Taxis, al menos en España. La actitud del colectivo de taxis en nuestro país me parece tan impresentable y tan troglodita que prefiero ir andando antes que usar el servicio de taxis. Y por si alguien se lo pregunta: para cuando necesito usar este tipo de servicio con conductor mi favorito es Cabify, con quien nunca he tenido un solo problema.

Para terminar: es de justicia agradecer el soporte (pasadas las 15 horas) y la velocidad de Uber en solucionar el problema. Se que a ninguna empresa le gusta la publicidad negativa y que prefieren pagar a tener usuarios haciendo ruido en contra en las redes. Pero aún así, podrían haber dicho: "el usuario entró con tu usuario y clave y por tanto eras tu. Haber protegido mejor tu clave" y entrar en discusiones sobre como el cracker se hizo con mi clave. Pero no ha sido asi y tengo que agradecerlo. El trato final ha sido excelente (curiosamente, las preguntas que he lanzando luego han sido respondidas mucho mas rápido que las del problema original) y asi tengo que reconocerlo.

Asi pues, al final del todo: ¡gracias Uber!


 

sábado, 15 de julio de 2017

Uber, con este soporte os podéis ir a ...


Está uno tranquilamente en su casa a media tarde cuando de repente entra una llamada de Francia. Curioso, pero en los últimos tiempos he recibido llamadas que finalmente eran spam telefónico desde Reino Unido o Nueva Zelanda (parece que la globalización también es esto) asi que simplemente corto la llamada.

Pero un minuto después vuelven a llamar, asi que lo cojo. Mi interlocutor solo acierta a decir Allô? Allô? y tras unos segundos intentando hablar en ingles o español, desisto y corto la llamada. Segundos despues recibo un SMS:

Cest le chauffeur Uber jarrive

No tengo ni idea de francés, pero deduzco que mi chofer de Uber está esperándome. Imposible, no he usado nunca Uber aunque tengo cuenta desde 2014 (siempre, al final, he usado Cabify en España y transporte público fuera). Y por supuesto, no estoy en Francia. Respondo por SMS en inglés diciendo que hay algún error y lo ignoro, alguien se ha equivocado marcando mi número.

A medianoche suena de nuevo mi móvil. Otro número diferente también de Francia. El mismo caso: intento hablar en inglés con mi interlocutor que tampoco sabe inglés asi que tras un par de intentos trato de explicar con el traductor de Google que hay un error, que es la segunda vez que me pasa y que por favor lo notifique a su compañía.

Pero me quedo con la mosca detrás de la oreja y empiezo a atar cabos. Si me llaman de Uber es porque alguien ha registrado mi número de teléfono. Pero eso no puede pasar.. ¿o si?. Otra opción es que alguien haya entrado con mi cuenta. ¿Es posible?. Hace meses que no tengo a aplicación de Uber instalada, pero me la instalo. Mi número de teléfono y clave siguen ahí. Consulto mis viajes realizados y ... WTF!! . Tengo tres viajes hoy. En Francia. Me voy a la aplicación web, a ver si tengo mas información. Si, la tengo: no sólo he hecho esos tres viajes sino que me he pegado cuatro comilonas, una de ellas con 6 hamburguesas (por valor de 78€ en Brooklyn Village) rematado con dos pedidos diferentes en Crep'Land de 56€ y 27€. Parece que estoy disfrutando gastronómicamente de mi viaje a Paris... aunque mi cuerpo está en Madrid. Hago un comentario en twitter a la cuenta de @Uber_es pidiendo ayuda. Adrinavarro me sugiere que contacte con la cuenta de @Uber_support. Asi lo hago.


Está claro que alguien ha accedido de alguna forma mi cuenta de Uber. Cambio la clave de la aplicación (espero que tengan las mas mínimas medidas de seguridad y cierren las sesiones en otras aplicaciones cuando se cambia la clave). Intento ponerme en contacto con la empresa. Son las 00:30 asi que asumo que será dificil que haya alguien si encuentro un teléfono de soporte. No existe tal teléfono. Si que encuentro un formulario web de ayuda donde dejo un mensaje diciendo que tengo un problema de seguridad grave, que alguien está usando mi cuenta y que necesito soporte urgente.

Mientras, voy intentando recopilar información y borrar las tarjetas de la cuenta. No me deja borrar las tarjetas porque no se pueden borrar mientras estoy haciendo un viaje. ¡Siguen usando mi cuenta!. Efectivamente, unos minutos después consigo borrar una de las tarjetas (no me deja borrar las dos, tiene que quedar al menos una) y veo el resumen del viaje


Son los postres de la cena de 6 hamburguesas.

Envío un par de tweets mas pero no recibo contestación. Como ya es bastante tarde y asumo que no voy a recibir respuesta, me acuesto para continuar por la mañana.

Al despertar veo que no tengo nueva información aún, así que empiezo a cabrearme. Empiezo a revisar otros sitios que pudieran tener la misma clave. Creo que nunca he usado esa clave en ninguno de los lugares crackeados (al menos no en los típicos de HaveIbeenPwned) .

El amigo Diego se sorprende de que no haya recibido respuesta casi 10h despues

Me remite también a la cuenta de @Uber_support que, no me había dado cuenta, parece que efectivamente responden rápido. Intento contactar por mensaje directo de twitter y admiten que les envie mensajes cualquiera, no solo las cuentas a las que siguen. Así que les cuento el caso resumido y completo, incluidas formas de contacto. Son as 10:20 y les vuelvo a notificar en público.


Bajo a hacer unas compras. Con el ojo pegado a las notificaciones del movil. Nada. Llego a casa. Nada. Me empiezo a cabrear en serio.


Dejo pasar un rato y empiezo a considerar contarlo (ahora lo estás leyendo) en público. Sigue sin haber respuesta de Uber aunque veo que su cuenta de soporte si que responde a otros usuarios.


Son en este momento prácticamente las 14.00. Han pasado 14 horas desde que notifiqué a la empresa el problema. Problema que considero suficietemente serio como para una empresa del tamaño de Uber lo tome como algo realmente importante. Hay dinero en juego. Concretamente 383,59€.



En mi empresa, infinitamente mas pequeña, nos tomamos los problemas de los clientes mucho mas en serio. No puedo entender el tardar 14h en responder a un problema grave de caida de servicio, filtración de datos o cualquier otro problema de ese calibre. La falta de atención de Uber está siendo inexplicable y cabreante. Muy cabreante.

Seguiré actualizando esta anotación con las novedades que vaya habiendo sobre este tema. Espero que esos 383€ sean recuperables. Por favor: cualquier comentario o sugerencia sobre como actuar será muy bienvenida, tanto por aquí como por twitter.

Actualización 15:00: Aparentemnete, todo solucionado. La verdad, viendo la prisa que se estaban dado pensaba que el tema iba a ser mas largo. Han puesto los coste de los viajes de ayer a cero (no se si en la tarjeta me llegará un cargo y un ingreso o no llegará nada) y pedido disculpas por el retraso. Sigo alucinando con que hayan tardado 14 horas en responder. No se si el haber dado el coñazo por twitter y escribiendo esto ha tenido algo que ver o no. Me quedo con la duda..