Na navigaci | Klávesové zkratky

SAZKA, a.s. bezostyšně lže

Před pár dny jsem upozornil na bezpečnostní díru webu www.e-sazka.cz. Zprávu převzal server Lupa, kde se k celé věci vyjádřil tiskový mluvčí Sazky Zdeněk Zikmund:

Při výše popsaném postupu, bylo možné získat uvedené údaje (jméno a příjmení, logo a čárový kód) v korektní podobě pouze v případě, pokud se uživatel přihlásil ke svému vlastnímu kontu. V případě, že přihlášen nebyl nebo měnil ID, získával nekorektní data, která byla aplikací náhodně generována. Přesto, že nemohlo dojít ke zneužití osobních údajů ani dat, věc nás mrzí, neboť zavdává podnět k nepodloženým spekulacím. Ihned byla zjednána náprava a aplikace s nekorektními daty, která sloužila jako testovací, byla zastavena.

Pan mluvčí bohužel lže. Důkazem je kompletní seznam všech registrací, které bezpečnostní dírou vytáhl kolega bloger a dnes mi je poslal e-mailem. V seznamu jsem našel nejen sebe (tedy osobu se zcela jedinečným jménem), ale i několik dalších lidí, o kterých vím, že se u SAZKY registrovali.

Bezpečnostní díru jsem považoval spíš za zajímavost, ne příliš závažnou chybu, ale vyjádření pana Zikmunda mě doslova dojalo, takže zítra odešlu důkazy s průvodním dopisem na Úřad pro ochranu osobních údajů, aby se mohli dojmout také a prověřit překvapivé kvality onoho náhodného generátoru, a na SAZKU zvažuji podat trestní oznámení, neb díky ní údaje o mé registraci kolují po internetu.

Než se budete u SAZKY registrovat, velmi dobře zvažte, vaše osobní údaje rozhodně v bezpečí nejsou.

SAZKA podává trestní oznámení

Doplněno 21. ledna: Tak nám SAZKA podala trestní oznámení (čas 18:40) na neznámého „pachatele“, který na internetu stáhl a zveřejnil něco, co bylo náhodně generované :-) Ovšem co následně prohlásila paní z ÚOOÚ mě doslova šokovalo a zavdala myslím na hezký precedens.

před 8 lety v rubrice jakože zápisník | shlédnuto 16377× | nahoru |

Komentáře

  1. Kenn http://opicinoviny.cz #1

    avatar

    Je až s podivem, kolik velkých společností má na svých stránkách takovéto závažné chyby

    před 8 lety
  2. maxim http://maximcz.net #2

    avatar

    Tak tohle je ovšem sólokapr. Vyjádření tiskového mluvčí se mne již od začátku zdálo pochybné a pokud jsou k pochybení společnosti Sazka zřejmé důkazy, bude ještě hodně veselo…

    před 8 lety
  3. Pavel #3

    Doufám, že zveřejníš jak to celé dopado.

    před 8 lety
  4. Miro Hrončok http://neverhood.etomite.cz/~churchy #4

    avatar

    Když jsem četl prohlášení pana mluvčího, přišlo mi to natolik nepravděpodobné, že jsem si říkal, škoda, že si ty data někdo neschoval. A ejhle. Držím palce.

    před 8 lety
  5. Miro Hrončok http://neverhood.etomite.cz/~churchy #5

    avatar

    Ještě mě tak napadá, teď čtu v diskuzi na lupě:
    „Samotné jméno a unikátní číslo v proprietární databázi nejsou ve smyslu zákona určitelné osobní údaje.“ Jak moc je tedy můžeš žalovat?

    před 8 lety | reagoval [6] gg [15] Tomik [34] Tomik
  6. gg #6

    #5 Miro Hrončoku, tím bych si nebyl tak jistý, pokud jméno je skutečně unikátní, tak zcela jistě osobním údajem je

    před 8 lety
  7. Adrian Šipka http://www.adros.own.cz #7

    avatar

    Tomu říkám něco, jsem zvědavý na další vyjádření k tomu jejich generátoru. :D

    před 8 lety
  8. David Grudl http://davidgrudl.com #8

    avatar

    Žalovat je nechci, chci jen podat podnět na úřad, který už sám rozhodne, do jaké míry to jsou nebo nejsou osobní údaje.

    před 8 lety
  9. Marek Prokop http://www.sovavsiti.cz #9

    avatar

    Od lidí, kteří se živí hazardem, samozřejmě očekávám, že lžou, kradou a vraždí. Kdyby tomu tak nebylo, mé vidění světa formované díly jako Limonádový Joe, by se zhroutilo. Sazce proto děkuji, že se chová přesně tak, jak má.

    před 8 lety
  10. binarniladin http://binarniladin.bloguje.cz/ #10

    Jak by pravil můj syn: to je hustokrutý. To že v panice reflexivně zalhali , to snad ještě pochopím , ale že největší zvíře přes sázení místo aby někde koupilo nějaký hotový a hlavně osvědčený řešení pro podobný druh podnikání ( a nevěřím že neexistuje) , raději nechá od nějakých fušerů za těžký peníze znovuvynalázat kolo , nad tím mi čelist poklesla údivem až do suterénu …

    před 8 lety
  11. Gianluca Turturro http://blog.gtweb.cz #11

    avatar

    No já si hlavně myslim, že se jednalo o chybu, způsobenou nedostatečným testováním portálu. Když si vezmete, jak dlouho trvá vývoj takovéhoto monstra a jak dlouho po tom, co čeští poslanci umožnili sázení po onternetu, portál Sazky vyšel v plně pracovním provozu (aby si samozřejmě urval co největší kus ještě teplého koláče), tak se není ani čemu divit.

    před 8 lety | reagoval [13] Martin [36] Roj [37] Michal Pelikán
  12. Michal Pelikán http://bscary.spaces.live.com/blog/ #12

    avatar

    Co k tomu říct? Snad jen, že na „náhodně generovaná data“ může skočit jen cílovka Sazky – gamleři.

    před 8 lety
  13. Martin http://ludviksalvator.cz #13

    avatar

    #11 Gianluco Turturro, Myslím si, že s tím mohli počítat, že dřív nebo později se hazard po netu spustí a to monstrum začít vyvíjet včas, ještě k tomu když se jedná o dost velký peníze.

    před 8 lety | reagoval [37] Michal Pelikán
  14. Keff #14

    avatar

    Teda, „It's not a bug, it's a feature“ získává nový rozměr, vždyť která jiná firma zabudovává do svého softwaru dokonalé generátory jmen, jen aby je používala ke generování lidí na chybných URL adresách :).

    Tentokrát bych z břitev použil Hanlonovu („Nepřisuzuj zlému úmyslu to, co se dá ekvivalentně vysvětlit blbostí“ :)).

    Pěkný lov, DGX!

    před 8 lety
  15. Tomik http://tomik.jmx.cz #15

    avatar

    Svého času psal La Trine také generátor. Nevím, zda toto trvá, ale předpokládám, že jo, kdyby tady články zase začal psát David, úroveň by znatelně poklesla. :)

    Takže je to vlastně souboj jednoho generátoru, proti druhému.

    Já osobně fandím tomu zdejšímu a doufám, že toho od Sazky rozmete na kopytech! Do toho!

    OT #5 Miro Hrončok: Zdravím, Miro! :)

    před 8 lety
  16. Trupik http://blog.jakubmaly.cz #16

    avatar

    Možná že i generátory náhodných čísel v loteriích Sazky budou stejně náhodné, jako tento generátor osobních údajů :o)

    před 8 lety
  17. Jiří Knesl http://www.knesl.com #17

    avatar

    Ještě je možnost, že ten tiskový mluvčí říkal přesně to, co mu programátoři toho děravého systému v sebeobraně nakukali. ;)

    před 8 lety
  18. Scotty http://www.kapl.cz #18

    avatar

    Jsem rád, že jsem nepodlehl tlaku okolí a nezaregistroval se. Ale je dobře, že se o tom mluví a alespoň někdo se nebojí jednat a „bojovat“ s takovou firmou jako Sazka!

    před 8 lety | reagoval [22] Radko
  19. Lukas Nevosad http://www.hostingy.cz #19

    avatar

    Z uoou.cz:

    „Osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“

    priznam se, ze z toho stejne nechapu, jestli jmeno a prijmeni je osobni udaj.

    Jinak mi to cele prijde jako z komara velblouda. Ano, chyba se stala, vyjadreni byla ocividna kravina, ovsem zneuzitelnost dat nulova, chyba byla jeste o vikendu v noci opravena. Ti z vas, co vyvijite aplikace – nikdy se vam podobna chyba do systemu nedostala?

    před 8 lety | reagoval [20] Rival [25] Freeze
  20. Rival #20

    #19 Lukasi Nevosade, Mě z toho vyplývá, že unikátní údaj bude třeba David Pikachu Grudl… ale třeba Josef Novák už ne ;)

    před 8 lety | reagoval [25] Freeze
  21. Dundee http://blog.milde.cz #21

    avatar

    získával nekorektní data, která byla aplikací náhodně generována

    To zní naprosto dokonale. Možná bych ještě přidal byla generována náhodným orákulem, aby to znělo ještě tajemněji.

    Asi si založím seznam frází, které použít v případě průseru, a zapíšu si to tam.

    před 8 lety
  22. Radko #22

    avatar

    #18 Scotty, Blbost. Jakejpak boj. Samozřejmě to odskáčou chudáci programátoři. Můžete si tímto postupem gratulovat pouze k tomu, že někdo sejme chudáka vývojáře…

    před 8 lety
  23. hotovson #23

    Davide, jen technicka: „se mohli dojmou“ a „v bezpeční nejsou“

    Jinak ti drzim palce, nevychovance je treba vychovavat.

    Jo, dostaly me ty spinave fleky na pozadi, uz uz jsem chtel pucovat monitor, ale v tom jsem zaskroloval… ;)

    před 8 lety
  24. starenka http://www.starenka.net #24

    avatar

    Na druhou stranu výpotek „Generovali jsme náhodná data“ je vskutku transcendentální. Prostě takovej Easter Egg, že?

    před 8 lety
  25. Freeze http://www.icebolt.info #25

    #19 Lukasi Nevosade, Osobní údaj to je ve chvíli, kdy z techto dostupných informací muzes zjistit identitu – tedy s jistotou rici, ze toto je clovek, ktery se registroval.

    Ale osobne nevim, co vsechno verejne dostupne informace obsahovaly..

    #20 Rivale, V zasade mas pravdu – pokud by existoval pouze jediny David Grudl, tak by uz unik samotneho jeho jmena ze systemu mohl byt bran jako nezabezpeceni osobnich udaju :)

    před 8 lety
  26. Pachollini http://seky.nahory.net/ #26

    avatar

    Nevím, jak je to právně, ale i čistě dle selského rozumu mi zveřejnění informace, že jsem klientem Sazky, připadá jako citlivý údaj.

    před 8 lety
  27. Pavel #27

    Kompletni seznam registrovanych uz je ke stazeni na internetu

    před 8 lety | reagoval [28] Michal
  28. Michal http://bscary.spaces.live.com/blog/ #28

    avatar

    #27 Pavle, Pavle, to je informace ze zpráv nebo jsi to již někde ke stažení opravdu viděl?

    před 8 lety | reagoval [29] David Grudl
  29. David Grudl http://davidgrudl.com #29

    avatar
    před 8 lety
  30. Karel #30

    avatar

    Ta baba co byla vcera v TV je z UOOU? Tak ta baba je zcela mimo misu, pokud tvrdi, ze s tim musim pocitat. Bohuzel nikoli, pokud je chyba, ze sva data posilam pres zabezpecenou vrstvu primo do aplikace provozovatele je chyba provozovatele, ze tyto udaje vystavi na tom nebezpecnem internetu, nikoli chyba moje. Ta baba akorat vi, ze by ty internety nejadsi zakazala :)

    Karele je-li to možné, piš prosím s diakritikou
    Kunda neni to mozne, cestina stoji za starou pi…

    před 8 lety
  31. roman http://www.c64.sk #31

    avatar

    Karele?!?!? Tak tomu hovorim bug report ;-)

    před 8 lety
  32. anonym http://google.cz #32

    avatar

    Odkaz na seznam:

    http://rapidshare.com/…1/esazka.rar

    Názor si udělejte sami.

    před 8 lety
  33. Pavel #33

    Otazka: Proč je podávano trestní oznámeni, když jde o náhodné generování dat?

    před 8 lety
  34. Tomik http://tomik.jmx.cz #34

    avatar

    Tak kamarád (mimojiné je to Miro z #5 Miro Hrončok) slyšel někde v rádiu, že Sazka podává trestní oznámení na neznámého pachatele, prý kvůli pomluvám, či co.

    Jak co to s tím je? Neví někdo? :)

    před 8 lety
  35. king David #35

    avatar

    Ahoj, tak ta data obsahují ostré údaje. Seznam všech jmen není úplný (např. moje tam není :-). Nalezl jsem v seznamu 3 jména, o kteých vím, že se u e-sazky zaregistrovali. Některá jména jsem tam však nenašel. U jednoho jména mohu spolehlivě prokázat, že u něho je pravý registrační kód. Mám k dispozici originální registrační email od Sazky té osobě :-), a těch dalších dvou lidí bych se musel zeptat. Kdyby to šlo k soudu, myslím, že by se přidali. Chyba se totiž může stát, ale tiskový mluvčí naprosto sprostě veřejně lhal o náhodnýh datech. A to by se mělo jeho zaměstnavateli prodražit…

    před 8 lety
  36. Roj http://roj.cz #36

    avatar

    A hadejte, proc o tom kolosálnim prusvihu prakticky nikdo z velkych medii neinformoval, jen Prima?
    CT ma oCazky 100 mega rocne, Nova se snazi ji to prebrat, UOOU je koupenej uz davno a poslanci zcela napric tzv. politickym spektrem jsou nejlepsi kamosi s Husakem.

    Nektere nazory, treba #11 Gianluca Turturro, me hodne pobavily :-)

    Davide, je nenulova pravdepodobnost, ze se kvuli tomuto clanku dostanes do neprijemnosti. S mou pomoci muzes pocitat.

    před 7 lety
  37. Michal Pelikán http://bscary.blogspot.com/ #37

    avatar

    #11 Gianluco Turturro,
    #13 Martin
    Pánové, portál Sazky běžel a byl plně funkční už od února 2008. Včetně sázení. Jediné, co se v lednu změnilo, bylo to, že sázky lze namísto telefonu podat kliknutím tlačítka. Takže není pravda, že by měla Sazka málo času.

    vsadím se (kdo vypíše kurz? :D), že kdyby Sazka nevěděla, jak to s tím spuštěním nakonec dopadne (jako že jó), neinvestovala by do toho portálu předloni ani 1 Kč.

    před 7 lety
  38. Adrian Šipka http://www.adros.own.cz #38

    avatar

    Hehe, mooc zajímavé. Celé je to teď nějaké popletené, ale nechápu že když má Sazka tolik pěněz, proč si nedokáže aspoň ubránit data na stránkách. To by nevyšlo Sazku na převeliké peníze ne? Mají to na háku, chtějí žalovat a přitom sami mají ostudu. Žalovat by měli je za to, že nedokázali ubránit citlivé informace.

    před 7 lety
  39. Carl114 http://carl114.gigafun.cz/ #39

    avatar

    Tohle si přece musí hlídat? Jak už tu bylo řečeno je to neuvěřitelné. Čím větší firma tak tím více by se měli zabejvat bezpečností snad ne? Tohle jsou citlivé informace a oni se uvazují k tomu, že je nebudou předávat dál. Tím, že tam byla chyba je vlastně zveřejnily. Mohly bychom je žalovat :)

    před 7 lety
  40. Mersace http://www.novinkybezobalu.cz #40

    avatar

    Já si myslím, že vzhledem k tomu, kolik projeli při „Bonus akci“, se dvěma talířema je jim bezpečnostní díry líto, ale neštve je to tolik.

    před 7 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.