lze číst i odspodu

Na navigaci | Klávesové zkratky

SAZKA, a.s. bezostyšně lže

Před pár dny jsem upozornil na bezpečnostní díru webu www.e-sazka.cz. Zprávu převzal server Lupa, kde se k celé věci vyjádřil tiskový mluvčí Sazky Zdeněk Zikmund:

Při výše popsaném postupu, bylo možné získat uvedené údaje (jméno a příjmení, logo a čárový kód) v korektní podobě pouze v případě, pokud se uživatel přihlásil ke svému vlastnímu kontu. V případě, že přihlášen nebyl nebo měnil ID, získával nekorektní data, která byla aplikací náhodně generována. Přesto, že nemohlo dojít ke zneužití osobních údajů ani dat, věc nás mrzí, neboť zavdává podnět k nepodloženým spekulacím. Ihned byla zjednána náprava a aplikace s nekorektními daty, která sloužila jako testovací, byla zastavena.

Pan mluvčí bohužel lže. Důkazem je kompletní seznam všech registrací, které bezpečnostní dírou vytáhl kolega bloger a dnes mi je poslal e-mailem. V seznamu jsem našel nejen sebe (tedy osobu se zcela jedinečným jménem), ale i několik dalších lidí, o kterých vím, že se u SAZKY registrovali.

Bezpečnostní díru jsem považoval spíš za zajímavost, ne příliš závažnou chybu, ale vyjádření pana Zikmunda mě doslova dojalo, takže zítra odešlu důkazy s průvodním dopisem na Úřad pro ochranu osobních údajů, aby se mohli dojmout také a prověřit překvapivé kvality onoho náhodného generátoru, a na SAZKU zvažuji podat trestní oznámení, neb díky ní údaje o mé registraci kolují po internetu.

Než se budete u SAZKY registrovat, velmi dobře zvažte, vaše osobní údaje rozhodně v bezpečí nejsou.

SAZKA podává trestní oznámení

Doplněno 21. ledna: Tak nám SAZKA podala trestní oznámení (čas 18:40) na neznámého „pachatele“, který na internetu stáhl a zveřejnil něco, co bylo náhodně generované 🙂 Ovšem co následně prohlásila paní z ÚOOÚ mě doslova šokovalo a zavdala myslím na hezký precedens.

Mohlo by vás zajímat

Komentáře

  1. Kenn #1

    avatar

    Je až s podivem, kolik velkých společností má na svých stránkách takovéto závažné chyby

    před 16 lety
  2. maxim #2

    avatar

    Tak tohle je ovšem sólokapr. Vyjádření tiskového mluvčí se mne již od začátku zdálo pochybné a pokud jsou k pochybení společnosti Sazka zřejmé důkazy, bude ještě hodně veselo…

    před 16 lety
  3. Pavel #3

    Doufám, že zveřejníš jak to celé dopado.

    před 16 lety
  4. Miro Hrončok #4

    avatar

    Když jsem četl prohlášení pana mluvčího, přišlo mi to natolik nepravděpodobné, že jsem si říkal, škoda, že si ty data někdo neschoval. A ejhle. Držím palce.

    před 16 lety
  5. Miro Hrončok #5

    avatar

    Ještě mě tak napadá, teď čtu v diskuzi na lupě:
    „Samotné jméno a unikátní číslo v proprietární databázi nejsou ve smyslu zákona určitelné osobní údaje.“ Jak moc je tedy můžeš žalovat?

    před 16 lety | reagoval [6] gg [15] Tomik [34] Tomik
  6. gg #6

    #5 Miro Hrončoku, tím bych si nebyl tak jistý, pokud jméno je skutečně unikátní, tak zcela jistě osobním údajem je

    před 16 lety
  7. Adrian Šipka #7

    avatar

    Tomu říkám něco, jsem zvědavý na další vyjádření k tomu jejich generátoru. :D

    před 16 lety
  8. David Grudl #8

    avatar

    Žalovat je nechci, chci jen podat podnět na úřad, který už sám rozhodne, do jaké míry to jsou nebo nejsou osobní údaje.

    před 16 lety
  9. Marek Prokop #9

    avatar

    Od lidí, kteří se živí hazardem, samozřejmě očekávám, že lžou, kradou a vraždí. Kdyby tomu tak nebylo, mé vidění světa formované díly jako Limonádový Joe, by se zhroutilo. Sazce proto děkuji, že se chová přesně tak, jak má.

    před 16 lety
  10. binarniladin #10

    Jak by pravil můj syn: to je hustokrutý. To že v panice reflexivně zalhali , to snad ještě pochopím , ale že největší zvíře přes sázení místo aby někde koupilo nějaký hotový a hlavně osvědčený řešení pro podobný druh podnikání ( a nevěřím že neexistuje) , raději nechá od nějakých fušerů za těžký peníze znovuvynalázat kolo , nad tím mi čelist poklesla údivem až do suterénu …

    před 16 lety
  11. Gianluca Turturro #11

    avatar

    No já si hlavně myslim, že se jednalo o chybu, způsobenou nedostatečným testováním portálu. Když si vezmete, jak dlouho trvá vývoj takovéhoto monstra a jak dlouho po tom, co čeští poslanci umožnili sázení po onternetu, portál Sazky vyšel v plně pracovním provozu (aby si samozřejmě urval co největší kus ještě teplého koláče), tak se není ani čemu divit.

    před 16 lety | reagoval [13] Martin [36] Roj [37] Michal Pelikán
  12. Michal Pelikán #12

    avatar

    Co k tomu říct? Snad jen, že na „náhodně generovaná data“ může skočit jen cílovka Sazky – gamleři.

    před 16 lety
  13. Martin #13

    avatar

    #11 Gianluco Turturro, Myslím si, že s tím mohli počítat, že dřív nebo později se hazard po netu spustí a to monstrum začít vyvíjet včas, ještě k tomu když se jedná o dost velký peníze.

    před 16 lety | reagoval [37] Michal Pelikán
  14. Keff #14

    avatar

    Teda, „It's not a bug, it's a feature“ získává nový rozměr, vždyť která jiná firma zabudovává do svého softwaru dokonalé generátory jmen, jen aby je používala ke generování lidí na chybných URL adresách :).

    Tentokrát bych z břitev použil Hanlonovu („Nepřisuzuj zlému úmyslu to, co se dá ekvivalentně vysvětlit blbostí“ :)).

    Pěkný lov, DGX!

    před 16 lety
  15. Tomik #15

    avatar

    Svého času psal La Trine také generátor. Nevím, zda toto trvá, ale předpokládám, že jo, kdyby tady články zase začal psát David, úroveň by znatelně poklesla. :)

    Takže je to vlastně souboj jednoho generátoru, proti druhému.

    Já osobně fandím tomu zdejšímu a doufám, že toho od Sazky rozmete na kopytech! Do toho!

    OT #5 Miro Hrončok: Zdravím, Miro! :)

    před 16 lety
  16. Trupik #16

    avatar

    Možná že i generátory náhodných čísel v loteriích Sazky budou stejně náhodné, jako tento generátor osobních údajů :o)

    před 16 lety
  17. Jiří Knesl #17

    avatar

    Ještě je možnost, že ten tiskový mluvčí říkal přesně to, co mu programátoři toho děravého systému v sebeobraně nakukali. ;)

    před 16 lety
  18. Scotty #18

    avatar

    Jsem rád, že jsem nepodlehl tlaku okolí a nezaregistroval se. Ale je dobře, že se o tom mluví a alespoň někdo se nebojí jednat a „bojovat“ s takovou firmou jako Sazka!

    před 16 lety | reagoval [22] Radko
  19. Lukas Nevosad #19

    avatar

    Z uoou.cz:

    „Osobní údaj – jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“

    priznam se, ze z toho stejne nechapu, jestli jmeno a prijmeni je osobni udaj.

    Jinak mi to cele prijde jako z komara velblouda. Ano, chyba se stala, vyjadreni byla ocividna kravina, ovsem zneuzitelnost dat nulova, chyba byla jeste o vikendu v noci opravena. Ti z vas, co vyvijite aplikace – nikdy se vam podobna chyba do systemu nedostala?

    před 16 lety | reagoval [20] Rival [25] Freeze
  20. Rival #20

    #19 Lukasi Nevosade, Mě z toho vyplývá, že unikátní údaj bude třeba David Pikachu Grudl… ale třeba Josef Novák už ne ;)

    před 16 lety | reagoval [25] Freeze
  21. Dundee #21

    avatar

    získával nekorektní data, která byla aplikací náhodně generována

    To zní naprosto dokonale. Možná bych ještě přidal byla generována náhodným orákulem, aby to znělo ještě tajemněji.

    Asi si založím seznam frází, které použít v případě průseru, a zapíšu si to tam.

    před 16 lety
  22. Radko #22

    avatar

    #18 Scotty, Blbost. Jakejpak boj. Samozřejmě to odskáčou chudáci programátoři. Můžete si tímto postupem gratulovat pouze k tomu, že někdo sejme chudáka vývojáře…

    před 16 lety
  23. hotovson #23

    Davide, jen technicka: „se mohli dojmou“ a „v bezpeční nejsou“

    Jinak ti drzim palce, nevychovance je treba vychovavat.

    Jo, dostaly me ty spinave fleky na pozadi, uz uz jsem chtel pucovat monitor, ale v tom jsem zaskroloval… ;)

    před 16 lety
  24. starenka #24

    avatar

    Na druhou stranu výpotek „Generovali jsme náhodná data“ je vskutku transcendentální. Prostě takovej Easter Egg, že?

    před 16 lety
  25. Freeze #25

    #19 Lukasi Nevosade, Osobní údaj to je ve chvíli, kdy z techto dostupných informací muzes zjistit identitu – tedy s jistotou rici, ze toto je clovek, ktery se registroval.

    Ale osobne nevim, co vsechno verejne dostupne informace obsahovaly..

    #20 Rivale, V zasade mas pravdu – pokud by existoval pouze jediny David Grudl, tak by uz unik samotneho jeho jmena ze systemu mohl byt bran jako nezabezpeceni osobnich udaju :)

    před 16 lety
  26. Pachollini #26

    avatar

    Nevím, jak je to právně, ale i čistě dle selského rozumu mi zveřejnění informace, že jsem klientem Sazky, připadá jako citlivý údaj.

    před 16 lety
  27. Pavel #27

    Kompletni seznam registrovanych uz je ke stazeni na internetu

    před 16 lety | reagoval [28] Michal
  28. Michal #28

    avatar

    #27 Pavle, Pavle, to je informace ze zpráv nebo jsi to již někde ke stažení opravdu viděl?

    před 16 lety | reagoval [29] David Grudl
  29. David Grudl #29

    avatar
    před 16 lety
  30. Karel #30

    avatar

    Ta baba co byla vcera v TV je z UOOU? Tak ta baba je zcela mimo misu, pokud tvrdi, ze s tim musim pocitat. Bohuzel nikoli, pokud je chyba, ze sva data posilam pres zabezpecenou vrstvu primo do aplikace provozovatele je chyba provozovatele, ze tyto udaje vystavi na tom nebezpecnem internetu, nikoli chyba moje. Ta baba akorat vi, ze by ty internety nejadsi zakazala :)

    Karele je-li to možné, piš prosím s diakritikou
    Kunda neni to mozne, cestina stoji za starou pi…

    před 16 lety
  31. roman #31

    avatar

    Karele?!?!? Tak tomu hovorim bug report 😉

    před 16 lety
  32. anonym #32

    avatar

    Odkaz na seznam:

    #stary-odkaz-#stary-odkaz-http://rapidshare.com/files/187736101/esazka.rar

    Názor si udělejte sami.

    před 16 lety
  33. Pavel #33

    Otazka: Proč je podávano trestní oznámeni, když jde o náhodné generování dat?

    před 16 lety
  34. Tomik #34

    avatar

    Tak kamarád (mimojiné je to Miro z #5 Miro Hrončok) slyšel někde v rádiu, že Sazka podává trestní oznámení na neznámého pachatele, prý kvůli pomluvám, či co.

    Jak co to s tím je? Neví někdo? :)

    před 16 lety
  35. king David #35

    avatar

    Ahoj, tak ta data obsahují ostré údaje. Seznam všech jmen není úplný (např. moje tam není 🙂. Nalezl jsem v seznamu 3 jména, o kteých vím, že se u e-sazky zaregistrovali. Některá jména jsem tam však nenašel. U jednoho jména mohu spolehlivě prokázat, že u něho je pravý registrační kód. Mám k dispozici originální registrační email od Sazky té osobě 🙂, a těch dalších dvou lidí bych se musel zeptat. Kdyby to šlo k soudu, myslím, že by se přidali. Chyba se totiž může stát, ale tiskový mluvčí naprosto sprostě veřejně lhal o náhodnýh datech. A to by se mělo jeho zaměstnavateli prodražit…

    před 16 lety
  36. Roj #36

    avatar

    A hadejte, proc o tom kolosálnim prusvihu prakticky nikdo z velkych medii neinformoval, jen Prima?
    CT ma oCazky 100 mega rocne, Nova se snazi ji to prebrat, UOOU je koupenej uz davno a poslanci zcela napric tzv. politickym spektrem jsou nejlepsi kamosi s Husakem.

    Nektere nazory, treba #11 Gianluca Turturro, me hodne pobavily 🙂

    Davide, je nenulova pravdepodobnost, ze se kvuli tomuto clanku dostanes do neprijemnosti. S mou pomoci muzes pocitat.

    před 16 lety
  37. Michal Pelikán #37

    avatar

    #11 Gianluco Turturro,
    #13 Martin
    Pánové, portál Sazky běžel a byl plně funkční už od února 2008. Včetně sázení. Jediné, co se v lednu změnilo, bylo to, že sázky lze namísto telefonu podat kliknutím tlačítka. Takže není pravda, že by měla Sazka málo času.

    vsadím se (kdo vypíše kurz? :D), že kdyby Sazka nevěděla, jak to s tím spuštěním nakonec dopadne (jako že jó), neinvestovala by do toho portálu předloni ani 1 Kč.

    před 16 lety
  38. Adrian Šipka #38

    avatar

    Hehe, mooc zajímavé. Celé je to teď nějaké popletené, ale nechápu že když má Sazka tolik pěněz, proč si nedokáže aspoň ubránit data na stránkách. To by nevyšlo Sazku na převeliké peníze ne? Mají to na háku, chtějí žalovat a přitom sami mají ostudu. Žalovat by měli je za to, že nedokázali ubránit citlivé informace.

    před 16 lety
  39. Carl114 #39

    avatar

    Tohle si přece musí hlídat? Jak už tu bylo řečeno je to neuvěřitelné. Čím větší firma tak tím více by se měli zabejvat bezpečností snad ne? Tohle jsou citlivé informace a oni se uvazují k tomu, že je nebudou předávat dál. Tím, že tam byla chyba je vlastně zveřejnily. Mohly bychom je žalovat :)

    před 16 lety
  40. Mersace #40

    avatar

    Já si myslím, že vzhledem k tomu, kolik projeli při „Bonus akci“, se dvěma talířema je jim bezpečnostní díry líto, ale neštve je to tolik.

    před 16 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.