vylepšení: nyní bez Parse Error

Na navigaci | Klávesové zkratky

Zavinil Seznam.cz, že hackli Sobotku? Hrozí to i vám?

Premiér Sobotka se stal obětí hackerů, kteří se nabourali do jeho e-mailové schránky, převzali jeho Twitterový účet a kdoví co ještě. Na vině je dost možná Seznam.cz, u kterého měl e-mail zřízený. Jak je to možné? A hrozí stejné nebezpečí i vám?

Abych to vysvětlil, zkuste si nejprve představit, že si v bance zakládáte účet a asistent vám říká:

„Teď si prosím zvolte heslo, pomocí kterého budete moci nakládat s účtem.“

Vymyslíte si těžko uhodnutelné heslo, zadáte jej do počítače a bankovní asistent pokračuje:

„Výborně. A ještě pro případ, kdyby se vyskytl nějaký problém, mohu se zeptat na příjmení vaší matky za svobodna?“

„Ale jistě. Pterodaktylová.“

„Ano, děkuji,“ říká asistent, zapisuje do počítače, a protože je profík, odolá poznámce: „ona bude asi starší ročník, že?“

Od té chvíle se spoléháte na to, že banka dovolí s účtem manipulovat jen tomu, kdo zná heslo. Ani ve snu by vás nenapadlo, že to dovolí také tomu, kdo zná rodné příjmení vaší matky.

A Seznam právě tohle dovoluje!

Během zakládání e-mailu se vás mimoděk zeptá na jakousi „kontrolní otázku“, což může být právě rodné příjmení matky, ale už nedodá, že znalost příjmení umožní komukoliv se přihlásit do vaší schránky. Běžný uživatel to nevytuší.

Seznam tvrdí, že kontrolní otázka slouží k zabezpečení účtu. Opak je pravdou, kvůli kontrolní otázce ztrácí smysl heslo. Vymýšlení silného hesla bylo prostě zbytečné. Poskytovalo jen falešný pocit bezpečí.

Každý bezpečnostní expert vám řekne: „NIKDY na kontrolní otázku stran rodného příjmení matky NESMÍŠ zadávat rodné příjmení matky, napiš tam třeba borůvkový koláč, ale jenom proboha ne rodné příjmení matky!“

Tedy každý bezpečnostní expert poradí pravý opak toho, k čemu vybízí registrační stránka na Seznamu. A pokud nemáte bezpečnostního experta po ruce, je velmi pravděpodobné, že se nachytáte, a pokud ne vy, tak třeba vaše mamka, bude postupovat podle instrukcí a vytvoří si bezpečností díru, pomocí které se kdokoliv může dostat k jejím důvěrným zprávám.

Ale nejde jen o zprávy. Jakmile útočník získá přístup k e-mailu, je velmi snadné získat přístup i k dalším službám, jako je například Twitter nebo Facebook, které jsou s tímto e-mailem spojené. Prostě na stránce klikne na tlačítko „zapomněl jsem heslo, pošlete mi nové“ a nové heslo se doručí na kompromitovaný e-mail, kde už na něj útočník čeká a ihned převezme vládu nad dalším vaším účtem.

Takže pokud útočník zjistil, jak naznačuje v perexu odkázaný článek z Lidovek, rodné příjmení matky Bohuslava Sobotky (což ví spousta lidí) a rok jeho narození (což ví Wikipedie), získal přístup k jeho e-mailu. A poté mohl snadno získat přístupy k dalším službám.

Hrozí stejné nebezpečí i vám?

Pokud máte účet u Seznamu nebo jinde, kde se zadávají kontrolní otázky (například Apple ID atd.), ihned se ujistěte, že odpovědí je něco, co nikdo jiný nemůže jakkoliv odvodit. Nebo kontrolní otázku zrušte, je-li to možné. V případě Seznamu postupujte podle tohoto návodu.

Aktivujte tzv. dvoufázové ověření. Podporuje ho například Facebook, Twitter, Apple ID nebo Google a jeho Gmail.

Jestli se hackeři (nebo přesněji crackeři) do e-mailu předsedy vlády skutečně dostali přes kontrolní otázku, není potvrzené. Ale je dobré vědět, že tato fatální bezpečnostní díra existuje.

Příklad: Martin Kostolany na první pokus zjistil ročník a rodné příjmení mé mamky. Naštěstí má jinou kontrolní otázku, jinak by nabourání se do její schránky byla otázka pouhých pár desítek vteřin snažení.