ladem
2009
SAZKA, a.s. bezostyšně lže
Před pár dny jsem upozornil na bezpečnostní díru webu www.e-sazka.cz. Zprávu převzal server Lupa, kde se k celé věci vyjádřil tiskový mluvčí Sazky Zdeněk Zikmund:
Při výše popsaném postupu, bylo možné získat uvedené údaje (jméno a příjmení, logo a čárový kód) v korektní podobě pouze v případě, pokud se uživatel přihlásil ke svému vlastnímu kontu. V případě, že přihlášen nebyl nebo měnil ID, získával nekorektní data, která byla aplikací náhodně generována. Přesto, že nemohlo dojít ke zneužití osobních údajů ani dat, věc nás mrzí, neboť zavdává podnět k nepodloženým spekulacím. Ihned byla zjednána náprava a aplikace s nekorektními daty, která sloužila jako testovací, byla zastavena.
Pan mluvčí bohužel lže. Důkazem je kompletní seznam všech registrací, které bezpečnostní dírou vytáhl kolega bloger a dnes mi je poslal e-mailem. V seznamu jsem našel nejen sebe (tedy osobu se zcela jedinečným jménem), ale i několik dalších lidí, o kterých vím, že se u SAZKY registrovali.
Bezpečnostní díru jsem považoval spíš za zajímavost, ne příliš závažnou chybu, ale vyjádření pana Zikmunda mě doslova dojalo, takže zítra odešlu důkazy s průvodním dopisem na Úřad pro ochranu osobních údajů, aby se mohli dojmout také a prověřit překvapivé kvality onoho náhodného generátoru, a na SAZKU zvažuji podat trestní oznámení, neb díky ní údaje o mé registraci kolují po internetu.
Než se budete u SAZKY registrovat, velmi dobře zvažte, vaše osobní údaje rozhodně v bezpečí nejsou.
SAZKA podává trestní oznámení
Doplněno 21. ledna: Tak nám SAZKA podala
trestní oznámení (čas 18:40) na neznámého „pachatele“, který na
internetu stáhl a zveřejnil něco, co bylo náhodně generované 
Ovšem co následně prohlásila paní z ÚOOÚ mě
doslova šokovalo a zavdala myslím na hezký precedens.
Komentáře 
» přidat
Tento článek byl uzavřen. Už není možné k němu přidávat komentáře ani hlasovat
RSS článků
Přidat k oblíbeným
#1 Kenn http://opicinoviny.cz nový
Je až s podivem, kolik velkých společností má na svých stránkách takovéto závažné chyby
#2 maxim http://maximcz.net nový
Tak tohle je ovšem sólokapr. Vyjádření tiskového mluvčí se mne již od začátku zdálo pochybné a pokud jsou k pochybení společnosti Sazka zřejmé důkazy, bude ještě hodně veselo…
#3 Pavel nový
Doufám, že zveřejníš jak to celé dopado.
#4 Miro Hrončok http://neverhood.etomite.cz/~churchy nový
Když jsem četl prohlášení pana mluvčího, přišlo mi to natolik nepravděpodobné, že jsem si říkal, škoda, že si ty data někdo neschoval. A ejhle. Držím palce.
#5 Miro Hrončok http://neverhood.etomite.cz/~churchy nový
Ještě mě tak napadá, teď čtu v diskuzi na lupě:
„Samotné jméno a unikátní číslo v proprietární databázi nejsou ve smyslu zákona určitelné osobní údaje.“ Jak moc je tedy můžeš žalovat?
#6 gg nový
#5 Miro Hrončok: tím bych si nebyl tak jistý, pokud jméno je skutečně unikátní, tak zcela jistě osobním údajem je
#7 Adrian Šipka http://www.adros.own.cz nový
Tomu říkám něco, jsem zvědavý na další vyjádření k tomu jejich generátoru. :D
#8 David Grudl http://davidgrudl.com nový
Žalovat je nechci, chci jen podat podnět na úřad, který už sám rozhodne, do jaké míry to jsou nebo nejsou osobní údaje.
#9 Marek Prokop http://www.sovavsiti.cz nový
Od lidí, kteří se živí hazardem, samozřejmě očekávám, že lžou, kradou a vraždí. Kdyby tomu tak nebylo, mé vidění světa formované díly jako Limonádový Joe, by se zhroutilo. Sazce proto děkuji, že se chová přesně tak, jak má.
#10 binarniladin http://binarniladin.bloguje.cz/ nový
Jak by pravil můj syn: to je hustokrutý. To že v panice reflexivně zalhali , to snad ještě pochopím , ale že největší zvíře přes sázení místo aby někde koupilo nějaký hotový a hlavně osvědčený řešení pro podobný druh podnikání ( a nevěřím že neexistuje) , raději nechá od nějakých fušerů za těžký peníze znovuvynalázat kolo , nad tím mi čelist poklesla údivem až do suterénu …
#11 Gianluca Turturro http://blog.gtweb.cz nový
No já si hlavně myslim, že se jednalo o chybu, způsobenou nedostatečným testováním portálu. Když si vezmete, jak dlouho trvá vývoj takovéhoto monstra a jak dlouho po tom, co čeští poslanci umožnili sázení po onternetu, portál Sazky vyšel v plně pracovním provozu (aby si samozřejmě urval co největší kus ještě teplého koláče), tak se není ani čemu divit.
#12 Michal Pelikán http://bscary.spaces.live.com/blog/ nový
Co k tomu říct? Snad jen, že na „náhodně generovaná data“ může skočit jen cílovka Sazky – gamleři.
#13 Martin http://ludviksalvator.cz nový
#11 Gianluca Turturro: Myslím si, že s tím mohli počítat, že dřív nebo později se hazard po netu spustí a to monstrum začít vyvíjet včas, ještě k tomu když se jedná o dost velký peníze.
#14 Keff keff85@gmail.com nový
Teda, „It's not a bug, it's a feature“ získává nový rozměr, vždyť která jiná firma zabudovává do svého softwaru dokonalé generátory jmen, jen aby je používala ke generování lidí na chybných URL adresách :).
Tentokrát bych z břitev použil Hanlonovu („Nepřisuzuj zlému úmyslu to, co se dá ekvivalentně vysvětlit blbostí“ :)).
Pěkný lov, DGX!
#15 Tomik http://tomik.jmx.cz nový
Svého času psal La Trine také generátor. Nevím, zda toto trvá, ale předpokládám, že jo, kdyby tady články zase začal psát David, úroveň by znatelně poklesla. :)
Takže je to vlastně souboj jednoho generátoru, proti druhému.
Já osobně fandím tomu zdejšímu a doufám, že toho od Sazky rozmete na kopytech! Do toho!
OT #5 Miro Hrončok:: Zdravím, Miro! :)
#16 Trupik http://blog.jakubmaly.cz nový
Možná že i generátory náhodných čísel v loteriích Sazky budou stejně náhodné, jako tento generátor osobních údajů :o)
#17 Jiří Knesl http://www.knesl.com nový
Ještě je možnost, že ten tiskový mluvčí říkal přesně to, co mu programátoři toho děravého systému v sebeobraně nakukali. ;)
#18 Scotty http://www.kapl.cz nový
Jsem rád, že jsem nepodlehl tlaku okolí a nezaregistroval se. Ale je dobře, že se o tom mluví a alespoň někdo se nebojí jednat a „bojovat“ s takovou firmou jako Sazka!
#19 Lukas Nevosad http://www.hostingy.cz nový
Z uoou.cz:
„Osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“
priznam se, ze z toho stejne nechapu, jestli jmeno a prijmeni je osobni udaj.
Jinak mi to cele prijde jako z komara velblouda. Ano, chyba se stala, vyjadreni byla ocividna kravina, ovsem zneuzitelnost dat nulova, chyba byla jeste o vikendu v noci opravena. Ti z vas, co vyvijite aplikace – nikdy se vam podobna chyba do systemu nedostala?
#20 Rival nový
#19 Lukas Nevosad: Mě z toho vyplývá, že unikátní údaj bude třeba David Pikachu Grudl… ale třeba Josef Novák už ne ;)
#21 Dundee http://blog.milde.cz nový
získával nekorektní data, která byla aplikací náhodně generována
To zní naprosto dokonale. Možná bych ještě přidal byla generována náhodným orákulem, aby to znělo ještě tajemněji.
Asi si založím seznam frází, které použít v případě průseru, a zapíšu si to tam.
#22 Radko radkofil@gmail.com nový
#18 Scotty: Blbost. Jakejpak boj. Samozřejmě to odskáčou chudáci programátoři. Můžete si tímto postupem gratulovat pouze k tomu, že někdo sejme chudáka vývojáře…
#23 hotovson nový
Davide, jen technicka: „se mohli dojmou“ a „v bezpeční nejsou“
Jinak ti drzim palce, nevychovance je treba vychovavat.
Jo, dostaly me ty spinave fleky na pozadi, uz uz jsem chtel pucovat monitor, ale v tom jsem zaskroloval… ;)
#24 starenka http://www.starenka.net nový
Na druhou stranu výpotek „Generovali jsme náhodná data“ je vskutku transcendentální. Prostě takovej Easter Egg, že?
#25 Freeze http://www.icebolt.info nový
#19 Lukas Nevosad: Osobní údaj to je ve chvíli, kdy z techto dostupných informací muzes zjistit identitu – tedy s jistotou rici, ze toto je clovek, ktery se registroval.
Ale osobne nevim, co vsechno verejne dostupne informace obsahovaly..
#20 Rival: V zasade mas pravdu – pokud by existoval pouze jediny David Grudl, tak by uz unik samotneho jeho jmena ze systemu mohl byt bran jako nezabezpeceni osobnich udaju :)
#26 Pachollini http://seky.nahory.net/ nový
Nevím, jak je to právně, ale i čistě dle selského rozumu mi zveřejnění informace, že jsem klientem Sazky, připadá jako citlivý údaj.
#27 Pavel nový
Kompletni seznam registrovanych uz je ke stazeni na internetu
#28 Michal http://bscary.spaces.live.com/blog/ nový
#27 Pavel: Pavle, to je informace ze zpráv nebo jsi to již někde ke stažení opravdu viděl?
#29 David Grudl http://davidgrudl.com nový
#28 Michal: http://www.lupa.cz/…vana/251731/
#30 Karel nedam@sorry.cz nový
Ta baba co byla vcera v TV je z UOOU? Tak ta baba je zcela mimo misu, pokud tvrdi, ze s tim musim pocitat. Bohuzel nikoli, pokud je chyba, ze sva data posilam pres zabezpecenou vrstvu primo do aplikace provozovatele je chyba provozovatele, ze tyto udaje vystavi na tom nebezpecnem internetu, nikoli chyba moje. Ta baba akorat vi, ze by ty internety nejadsi zakazala :)
Karele je-li to možné, piš prosím s diakritikou
Kunda neni to mozne, cestina stoji za starou pi…
#31 roman http://www.c64.sk nový
Karele?!?!? Tak tomu hovorim bug report
#32 anonym http://google.cz nový
Odkaz na seznam:
http://rapidshare.com/…1/esazka.rar
Názor si udělejte sami.
#33 Pavel nový
Otazka: Proč je podávano trestní oznámeni, když jde o náhodné generování dat?
#34 Tomik http://tomik.jmx.cz nový
Tak kamarád (mimojiné je to Miro z #5 Miro Hrončok:) slyšel někde v rádiu, že Sazka podává trestní oznámení na neznámého pachatele, prý kvůli pomluvám, či co.
Jak co to s tím je? Neví někdo? :)
#35 king David dtrojek@volny.cz nový
Ahoj, tak ta data obsahují ostré údaje. Seznam všech jmen není úplný (např. moje tam není
. Nalezl jsem v seznamu
3 jména, o kteých vím, že se u e-sazky zaregistrovali. Některá jména
jsem tam však nenašel. U jednoho jména mohu spolehlivě prokázat, že
u něho je pravý registrační kód. Mám k dispozici originální
registrační email od Sazky té osobě 
, a těch dalších dvou lidí bych se musel zeptat.
Kdyby to šlo k soudu, myslím, že by se přidali. Chyba se totiž může
stát, ale tiskový mluvčí naprosto sprostě veřejně lhal o náhodnýh
datech. A to by se mělo jeho zaměstnavateli prodražit…
#36 Roj http://roj.cz nový
A hadejte, proc o tom kolosálnim prusvihu prakticky nikdo z velkych medii neinformoval, jen Prima?
CT ma oCazky 100 mega rocne, Nova se snazi ji to prebrat, UOOU je koupenej uz davno a poslanci zcela napric tzv. politickym spektrem jsou nejlepsi kamosi s Husakem.
Nektere nazory, treba #11 Gianluca Turturro:, me hodne pobavily
Davide, je nenulova pravdepodobnost, ze se kvuli tomuto clanku dostanes do neprijemnosti. S mou pomoci muzes pocitat.
#37 Michal Pelikán http://bscary.blogspot.com/ nový
#11 Gianluca Turturro:
#13 Martin:
Pánové, portál Sazky běžel a byl plně funkční už od února 2008. Včetně sázení. Jediné, co se v lednu změnilo, bylo to, že sázky lze namísto telefonu podat kliknutím tlačítka. Takže není pravda, že by měla Sazka málo času.
A vsadím se (kdo vypíše kurz? :D), že kdyby Sazka nevěděla, jak to s tím spuštěním nakonec dopadne (jako že jó), neinvestovala by do toho portálu předloni ani 1 Kč.
#38 Adrian Šipka http://www.adros.own.cz nový
Hehe, mooc zajímavé. Celé je to teď nějaké popletené, ale nechápu že když má Sazka tolik pěněz, proč si nedokáže aspoň ubránit data na stránkách. To by nevyšlo Sazku na převeliké peníze ne? Mají to na háku, chtějí žalovat a přitom sami mají ostudu. Žalovat by měli je za to, že nedokázali ubránit citlivé informace.
#39 Carl114 http://carl114.gigafun.cz/ nový
Tohle si přece musí hlídat? Jak už tu bylo řečeno je to neuvěřitelné. Čím větší firma tak tím více by se měli zabejvat bezpečností snad ne? Tohle jsou citlivé informace a oni se uvazují k tomu, že je nebudou předávat dál. Tím, že tam byla chyba je vlastně zveřejnily. Mohly bychom je žalovat :)
#40 Mersace http://www.novinkybezobalu.cz nový
Já si myslím, že vzhledem k tomu, kolik projeli při „Bonus akci“, se dvěma talířema je jim bezpečnostní díry líto, ale neštve je to tolik.