Cum mi-a fost spart contul de Tazz și ce metodă a folosit un băiat din Iași ca să-mi tragă bani de pe card

By | July 19, 2022

E mai mult vina mea decât meritul lui. Am folosit o parolă simplă și mai veche pentru contul de Tazz, pe care o foloseam pe vremuri pe mai multe site-uri cărora nu le dădeam prea mare importanță. Doar că ulterior EuCeMănânc s-a transformat în Tazz, am început să dau comenzi, am adăugat cardul de credit și am lăsat așa parola. Așa că…

Ieri pe la ora 16:20 sună telefonul. Un număr de fix de Vodafone. De regulă nu răspund la d-astea că știu că ori sunt sondaje ori cineva care vrea să-mi propună cine știe ce colaborare pentru business. De data asta am răspuns.

  • Bună ziua, vă sun în legătură cu o comandă de la Tazz! În primul rând trebuie să vă avertizez că acest apel este înregistrat. Este în regulă să continuăm?
  • Ăăă… da, ok, e în regulă… nu știu despre ce comandă vorbiți… cred că este o greșeală. Nu am dat nicio comandă astăzi. N-am mai dat de ceva timp o comandă la Tazz.
  • Îmi puteți spune email-ul dumneavoastră?

(Inițial am crezut că-i un curier care a greșit numărul, dar întrebarea asta m-a trigger-uit, că un curier n-avea de ce să-mi ceară email-ul. M-am prins că mă sună cineva “din centrală”, dar dacă ar fi cineva de la Tazz, cum de mă sună fără să-mi știe nici măcar mailul? Întâmplător eram în fața laptopului așa că deja deschideam tazz ca să văd despre ce este vorba)

  • Cum de îmi cereți mailul? Adică la ce vă trebuie, din moment ce eu n-am dat nicio comandă și este o greșeală.
  • Păi tocmai … ca să verificăm dacă este o greșeală.

Moment în care mi se încarcă site-ul tazz, mă duc la comenzile mele și bum, mă lovește:

Nu una, nu două, ci zece comenzi a câte un card cadou în valoare de 100 de lei cu livrare de la Decathlon Iași.

Prima dată când am văzut numele acolo sus, “Ursache”, am zis că probabil e vreo eroare. S-o fi făcut vreun la o bază de date și s-a suprapus numărul meu de telefon cu contul altcuiva. Doar că apoi am luat la verificat toate secțiunile contului și m-am prins că nu este așa. De fapt acesta chiar era contul meu. M-am prins rapid ce s-a întâmplat.

Cineva a găsit probabil acea parolă de doi lei pe vreun forum pe unde mai postează băieții dump-uri de parole și mailuri furate de la vreun site cu securitatea la pământ. Apoi acest “Ursache” s-a gândit să încerce combinația de mail + parolă și pe site-ul tazz și i-a mers. Următorul pas a fost să schimbe numele, să îmi deselecteze cardul virtual drept primary payment (deh, m-a dus capul la card virtual dar nu m-a dus la o parolă mai complexă), să-l seteze pe cel de la ING drept primary, să îmi dezactiveze notificările primite pe mail și să se pună pe comandat.

Strategia lui a fost să cumpere produse până în 100 de lei, ca să nu primesc notificare de la ING care să mă pună să aprob tranzacția. A ales un “produs” ce poate fi folosit sau revândut ușor. Un card cadou de la Decathlon.

Ok, dar cum ar fi intrat în posesia cardurilor? Numărul de telefon nu mi l-a putut schimba din cont. Dar mi-a schimbat adresa de livrare și a pus generic “Strada Conductelor” din Iași, iar la notă a scris “NU sunati la tel! Sunt afara”. Planul lui probabil era să aștepte undeva pe stradă să preia cardurile de la curier și să spere că acel curier nu va suna pe numărul meu de telefon.

Doar că celor de la Tazz li s-au părut suspecte aceste tranzacții și m-au sunat pe mine să mă întrebe despre ce e vorba.

Oricum, cine a făcut asta nu-i vreun hacker ci cel mai probabil vreun copilaș care a acționat cum l-a dus capul. Chiar dacă celor de la Tazz nu li s-ar fi aprins beculețele, oricum mi-ar fi cerut ING să aprob tranzacțiile, pentru că cei 19 lei pentru livrare ridicau valoarea comenzii la 119 lei. Și chiar dacă ar fi trecut una sau două tranzacții, la a treia probabil că mi-ar fi cerut să confirm. Și chiar dacă ar fi trecut de toate aceste sisteme… sunt absolut convins că oricum m-ar fi sunat curierul de la tazz cu “Bună ziua, de la tazz vă deranjez, am ajuns la adresă!!!”.

Când m-am uitat în ING, tranzacțiile erau în procesare. Probabil din cauza asta nici nu am primit notificare push. Dacă s-ar fi aprobat, aș fi primit și notificare pe telefon. D-asta zic că tipul e amator. N-ar fi funcționat niciodată planul lui Ursache.

În fine, cei de la tazz au dat rapid revert la tranzacții, banii sunt acolo unde ar trebui să fie. Iar eu mi-am schimbat parola cu una mai complicată (să-mi fie învățătură de minte). Singurul lucru de care-mi pare rău este că n-au vrut să sune la poliție și să trimită un agent cu geantă de tazz în spate la acea adresă pentru un flagrant, ca să-i livreze o vizită la secție lui Ursache.

P.S: Și iată de ce nu trebuie să folosiți aceeași parolă simplă pe mai multe site-uri, copii!

UPDATE: Cei de la Tazz au făcut un raport intern și m-au sunat și a doua zi, ca să îmi prezinte concluziile. Mi-au zis ce știam deja, că e din cauza parolei slabe folosită și pe alt site, că nu a fost compromis vreun sistem de-al lor de securitate care apoi să expună parola sau datele mele. Mi-au spus la ce date a avut acces Ursache și ce mă sfătuiesc ei în continuare (să raportez frauda la bancă, chiar dacă aceasta a fost stopată, să schimb cardul) șamd. Teoretic, sunt obligați să facă această informare conford GDPR, dar nu mă așteptam să fie așa profi. Bravo lor că au făcut chasing pe acest caz!

Urmărește Revoblog.ro și pe Google News

Share pe Facebook

11 comentarii la “Cum mi-a fost spart contul de Tazz și ce metodă a folosit un băiat din Iași ca să-mi tragă bani de pe card

  1. Florin

    Wooow bie că întâmplarea are un happy end fericit …. și când ai crede (și în cazul meu) că unei simple aplicație de comandat mâncare etc nu trebuie să îi acorzi mare atenție și poti pune o parolă oarecare,eh ce sa vezi că nu e chiar așa.
    Mă bucur cu banii au ajuns de unde plecase și da mi sa aprins un beculeț după citirea articolului.

    Reply
    1. Revo Post author

      Da, eu începusem deja să schimb parolele, că mă avertizează Google care sunt cele cu probleme, doar că am început în ordine alfabetică și Tazz este pe la finalul alfabetului, așa că nu ajunsesem la el.

  2. zzzzzzzzzzzz

    Card virtual de Revolut peste tot online si sa faci top-up mereu.

    Reply
    1. Revo Post author

      Da, aveam și eu card virtual Revolut setat aici. Dar am uitat să-l scot pe cel de ING.

  3. Ovidiu

    Bine că s-a terminat cu bine, însă cam nelalocul ei conotația pe care ai dat-o în articol și anume “planul moldoveanului”, just saying.

    Reply
    1. Revo Post author

      Am schimbat. Dar n-am vrut să-i dau nicio conotație, decât de “locuitor al regiunii geografice care este compusă din județele Iași, Vaslui, Galați, Vrancea, Botoșani, Neamț și Bacău.”. Și drept dovadă în titlu am scris din start “un băiat din Iași”. Am zis totuși să schimb, că trăim niște vremuri în care cu toții suntem mai încordați și nu vreau să se înțeleagă altceva.

  4. GuestStar

    De ce nu utilizezi un manager de parole? Ții minte o singură parolă, generezi parole sigure pentru orice serviciu, poți schimba parolele care nu îndeplinesc un anume standard de siguranță etc.

    Reply
    1. Revo Post author

      Folosesc LastPass. Dar nu mă înțeleg prea bine cu el, mereu mi se pare că mă încurcă. Ba uit parola la LastPass, ba nu găsesc acolo parola de la cine-știe-ce serviciu la care am făcut cont pe un smartphone pe care nu aveam LastPass instalat șamd. În ultimul timp însă Google a implementat o funcție foarte bună de management a parolelor și o folosesc pe aceea.

    2. Ariel

      Ai scapat usor.

      BitWarden pt parole, accesibil din WindowsApp (luat din store), pe Android inlocuieste managerul de parole din browser (care apropo nici ala nu e safe) iar pe Android te poti loga cu PIN/Amprenta. Se sincronizeaza intre ele si e free.
      + ca are si functie de generator de parole.

      Sigur are si iOS.

      Urmatorul pas e sa activezi MFA (multifactor authentication) peste tot unde exista. Per ansamblu poate parea bataie de cap, si poate e pana te obisnuiesti, insa numarul de hackuri/atacuri e in cresteri si oricum ne va afecta candva. Microsoft Authenticator vad ca a primit rol si de password manager (n-am testat) si unealta pt confirmat MFA.

  5. Ovidiu

    Poți adăuga 100% la orice final de parolă pe care deja o folosești (ex: parolata100%) și e deja Army Standard de siguranță. 🙂

    Reply
  6. George

    Eu merg pe urmatoarea schema, toate cardurile bancare au platile pe net dezactivate, mai putin unul pe care il am din facultate. Pe respectivul card tin mereu 100ron. Doar daca am o achizitie mai mare mut cand fac plata.
    Pentru site-uri externe sau suspecte trec prin umbrela cardului virtual de pe Revolut.
    Si cu astea esti acoperit, sau asa ar trebui.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *