Bug/piratage/truc louche/??? Uber Eats : je reçois les factures d'un inconnu

Bonjour les amis,

J’ai installé Uber Eats sur mon téléphone il y a une ou deux semaines. Je l’ai juste installé, je n’ai pas créé de compte, je n’ai pas fait de commande.

Ce soir, je reçois (sur mon adresse prenom.nom@gmail.com qui n’est qu’un alt que j’utilise sur certains services), et sans interaction ni action de ma part, une succession d’e-mails :

Les trois premiers sont tout à fait génériques, on peut notamment trouver étrange que le processus d’inscription semble se dérouler sans que je ne clique sur un e-mail d’activation (est-ce obligatoire dans le processus ?) :

La commande est faîte dans une ville qui n’est pas la mienne :

Et le moyen de paiement est le compte Paypal (à moins que ce ne soit « •••• None ») d’un parfait inconnu à l’adresse d’un inconnu (il fait des vidéos Minecraft semblerait-il, d’après ce que retourne une recherche Google sur cet e-mail).

Mon téléphone Android actuel n’est pas rooté. Il n’y a aucune connexion suspecte dans le log d’activités récentes de Gmail. Je vais quand même changer mon mot de passe préventivement. Pas de trace bizarre sur mon compte bancaire (pour l’instant).

Autre chose ? Ma CB vient tout juste d’être renouvelée et je l’ai changée sur plusieurs services (Online, OVH, Free, SNCF).

On dirait que je ne peux pas reset le mot de passe de ce compte, Uber demande une confirmation SMS qui va je ne sais pas où.

=> Activité louche, ou personne qui s’est amusée à rentrer une combinaison prenom.nom@fournisseur qui s’est avérée être moi par le plus grand des hasards (et le hasard est grand), sans que Uber ne requière l’activation mail ?

Bonne soirée,

On dirait que je ne peux pas reset le mot de passe de ce compte, Uber demande une confirmation SMS qui va je ne sais pas où.

Toi au moins tu as pu activer ton compte. Je n’ai jamais reçu le mail de confirmation du compte, du coup je n’ai jamais pu utiliser ce service (ni contacter le support d’ailleur).

As-tu essayer de contacter justement le support pour avoir plus de détail dessus ?

Eh non justement je n’ai pas créé de compte, ni cliqué le lien de confirmation émanant de cette inscription que je n’ai pas faite (je n’ai pas donné mon e-mail non plus).

Je contacterai peut-être le support plus tard.

Verifie les appli connecté à ton compte google dans Sécurité, fait le menage si tu en utilises pas certaine. Quelle appli de mail utilises-tu ?

Dans gmail.com regarde si tu as activité le transfert d’email dans tes paramètres.

Le mail est-il considéré comme sécurisé par Gmail ? Il nous faudrait le source/origin du mail aussi quand tu cliques sur plus d’option, tu peux y accéder.

Verifie les appli connecté à ton compte google dans Sécurité, fait le menage si tu en utilises pas certaine. Quelle appli de mail utilises-tu ?

J’utilise Gmail web et Gmail mobile. Samsung Email avait été activé il y a quelques jours par mégarde sur l’adresse concernée, je l’ai révoqué.

J’ai un transfert d’e-mail de l’adresse alt vers mon adresse principale, mais pas d’activité suspecte non plus.

Le mail est-il considéré comme sécurisé par Gmail ? Il nous faudrait le source/origin du mail aussi quand tu cliques sur plus d’option, tu peux y accéder.

Oui pas de doute c’est bien Uber (via l’infra de Sendgrid/Twilio), tous les checks passent.

Sur le log d’activité Gmail, tout émane de ma Livebox + de mon accès mobile (je découvre au passage qu’Orange utilise étrangement une page dédiée pour la communication POP sur le mobile (pop.*-*-*-*.mobile.abo.orange.fr), c’est peut-être Samsung Email qui utilise du POP…).

Chose étrange, quand je vais dans les paramètres de sécurité Google (et non Gmail), c’est l’adresse IP d’une Bbox qui apparaît pour mon téléphone, à côté de l’heure de dernière accès, alors que la seule fois où j’ai utilisé un accès Bbox sur l’appareil mobile concerné c’était il y très brièvement et il y a deux semaines. Mais il n’est pas impossible non plus que ce soit en fait l’adresse IP de dernière connexion et que je me sois re-loggé sans trop faire attention à mon compte à ce moment là.

J’accrédite peut-être la thèse de la faute de frappe sur mon e-mail à la limite (je n’ai pas d’homonyme mais j’ai des paronymes si on effectue quelques mutations sur mon prénom). Je vais essayer de creuser plus.

Bonjour, Oui, il faut peut-être creuser vers un autre utilisateur qui se serait tromper d’adresse. J’ai une histoire similaire avec un homonyme qui m’envoi ses rappelle de rendez-vous quand il se trompe d’adresse (inversion des nom et prénom). Mais ça n’explique pas comment il aurait pu valider l’adresse pour passer une commande.

Il faudrait contacter rapidement Uber Eats pour qu’ils s’assurent que tout est OK. Juste au cas où tu te sois fait piraté.

Peut-être tout simplement qu’ils ont rendu la confirmation mail non-obligatoire à l’inscription pour créer moins de friction dans le processus d’inscription (et s’ils ont fait ça, ils ont raison, vu que la validation du compte se fait principalement sur le numéro de téléphone sur les applications mobiles modernes). Le mail de confirmation resterait quand même afin de permettre d’établir un moyen de récupération supplémentaire pour le compte « au cas où ». Il me semble que Snapchat fait ça. Et ça expliquerait la simultanéité entre les messages d’annonce de création du compte et le mail avec le lien de confirmation.

Alors perso, j’ai eu un cas similaire avec un compte Instagram.

Je reçois un mail d’Instagram comme quoi j’ai créé un compte sur le mail prenomnom@gmail.com MAIS mon seul email que je possède c’est prenom.nom@gmail.com (observez le . en plus).

Après une brève recherche, je tombe sur ceci : http://www.jeuxvideo.com/forums/42–3000205–58909517–1-0–1-0-bug-changement-auto-de-l-adresse-mail-lors-de-la-creation-d-un-compte.htm

(Regardez le motif de fermeture du sujet….)

Du coup, pour l’expérience, j’ai envoyé depuis mon mail professionnel un mail à prenomnom@gmail.com et je l’ai reçu sur prenom.nom@gmail.com.

Un bug chez Gmail, c’est très embêtant. D’ailleurs le mail prenomnom@gmail.com appartient bien à une autre personne.

Non gmail ne considère pas les points comme un séparateur pour éviter le phishing

Je ne comprends pas ton message, comment cela peut-il éviter le phishing ?

Du coup, pour l’expérience, j’ai envoyé depuis mon mail professionnel un mail à prenomnom@gmail.com et je l’ai reçu sur prenom.nom@gmail.com.

Yes, c’est un comportement voulu pour éviter l’ambiguïté (par rapport à quelqu’un qui oublierait le point par exemple, ou pour éviter l’usurpation par des noms proches comme l’a dit A-312). Tu as une clef unique dans la base et elle correspond à ton adresse sans points ni majuscules.

D’ailleurs le mail prenomnom@gmail.com appartient bien à une autre personne.

Ça par contre non, il doit y avoir une variation (orthographique, de structure, de fournisseur).

https://support.google.com/mail/answer/7436150?hl=fr

Je vérifierai pour être sûr.

J’ai contacté le support par mail, il n’a pas compris, il a cru que j’avais été livré par erreur à mon adresse, du coup, il a remboursé l’inconnu. Je crois que j’ai fait ma bonne action :^)