Za mlhou hustou tak, že by se dala krájet…
Žádné zabezpečení nikdy nebude stoprocentní a útok hackera dnes není žádným překvapením. Dalo by se to pochopit a o prvním hacku jsme se na Živě.cz ani nezmiňovali. Ovšem další události a především překvapivý postoj vedení společnosti k tomuto případu opět rozvířily debaty o podivných praktikách Bananu a daly vzniknout i tomuto článku.
Po prvním útoku totiž Banan nijak veřejně nezareagoval. Přestože se zpráva o hacku objevila v některých médiích, na webu společnosti nebyla zmínka. Hodila by se omluva za dočasnou nedostupnost služeb, objasnění situace a ujištění o nápravě. Pokus o něco takového přišel až po druhém činu hackera, když se vedení společnosti veřejně vyjádřilo.
„Útok, jak byl plánován, byl neúspěšný, data klientů nebyla smazána ani poškozena,“ je uvedeno hned v úvodu tiskové zprávy. Podle všeho však plán hackera stoprocentně vyšel – chtěl upozornit na slabé zabezpečení serverů Bananu, a to se mu povedlo. Mazat data klientů evidentně vůbec neměl v úmyslu.
Oficiální výjádření Banan, s.r.o. k útoku hackera
Největší provokací je ovšem vysvětlení, že informace v rozesílaných e-mailech hackerem zákazníkům pochází z veřejně dohledatelné databáze WhoIs doménových registrátorů. V žádné takové ale nenajdete ID a hesla k hostingu majitelů domén. Jednoznačně šlo tedy o průnik do databáze Bananu. Zástupci společnosti, jednatelé Radovan Kaluža a Michal kaděra, však věci na pravou míru neuvedli a prostě mlží…
A nepřestali mlžit ani po třetím činu hackera, kdy rozesílal opět údaje uživatelům, tentokrát aktualizované a s nově vygenerovanými hesly, což prokazovalo vniknutí do databáze i po vydání tiskové zprávy a údajném zabezpečení serverů. Hned několik zákazníků Bananu se nám přihlásilo s tím, že MD5 hashe hesel odpovídají těm, které administrátoři Bananu před pár dny z bezpečnostních důvodů nově vygenerovali (ověření je snadné, například na www.md5.cz) .
Co na to Banan? Uživatelé byli ze strany hostera vyzváni, aby e-maily hackera prostě ignorovali:
Vazeny kliente,
dovolujeme si Vas upozornit na nevyzadane obtezujici e-maily, ktere Vam mohou prichazet z ruznych e-mailovych adres vcetne tech z domeny banan.cz, ktere v zadnem pripade nepochazeji od nasi spolecnosti. Vesmes prichazeji s predmetem zpravy "banan.cz webhosting hacked AGAIN (1st,2nd,3rd....edition)".
Jedna se stale o incident ze dne 19.1., vice informaci naleznete zde:
http://owebu.bloger.cz/_/Vyjadreni-spolecnosti-banan-s-r-o-k-utoku-hackera-tiskova-zprava
Pokuste se prosim tyto e-maily, ktere ucelove poskozuji dobre jmeno nasi spolecnosti, ignorovat - bohuzel neni technicky mozne temto lidem v neustalem rozesilani stejneho e-mailu nijak zabranit. Proti utocnikum budou vedeny odpovidajici pravni kroky. Dekujeme za pochopeni.
Vše je tedy prý důsledek prvního incidentu, který ale podle veřejného prohlášení nic neznamenal a hacker jen opakovaně rozesílá údaje z WhoIs, jen aby poškodil jméno společnosti Banan, s.r.o. Když zákazníci zareagovali a zeptali se na přítomnost ID a hesla v údajích, ve třetím případě navíc hesla aktualizovaného, dostalo se jim této odpovědi:
Velice se omlouváme za způsobené problémy. Kroky bezpečnostní jsme již provedli. Vše má návaznost na předešlé dny a útoky hackera. Opět se snaží poškodit jméno naší firmy a naše zákazníky jako jste Vy. Servery byly zabezpečeny a kroky učiněny.
Už snad nikoho nepřekvapí, že původní diskuze pod tiskovou zprávou byla záhy upravena a na prvním místě se zjevil příspěvek spokojeného uživatele služeb Bananu. Zde se kupodivu dočteme i přímou reakci na rozesílání hesel od Radovana Kaluži: „Nezastíráme, že k úniku hesel mohlo dojít a přestože jsou v zašifrovaném tvaru, jejich rozkódování obzvláště u jednoduchých hesel není nemožné. Proto jsme se rozhodli hesla změnit.“ Připomeňme, že rozkódování hesel v základním MD5 hashi zas takový problém není a únik hesel bezesporu zastírán byl…
Hack dosahující až na Karla Gotta
Samozřejmě jsem nelenil a snažil se od zástupců společnosti získat vysvětlení. Pan Kaděra slíbil poskytnutí informací až za čas, jakmile dořeší všechny technické a právní kroky. Na přímou otázku ohledně e-mailů však odpověděl: „Co se týká rozesílaných e-mailů – nebudeme se k nim již do médií dále vyjadřovat.“ Právě o tyto informace mi šlo ale nejvíc...
Šanci o rychlé uhašení ohně a řádné objasnění dostal i Radovan Kaluža, kterého jsme požádali o rozhovor. Ale ani zde nebyla snaha o rychlou nápravu reputace: „Čas pro rozhovor bude nejdříve za 2-3 týdny, nyní máme se snažíme celý team servery maximálně zabezpečit,“ odepsal na nabídku pan Kaluža.
Celá aféra má ale ještě dohru. Radoslav Banga, lídr kapely Gipsy.cz, včera na svém webu oznámil únik demonahrávek z nového připravovaného alba skupiny. Web hostuje právě u společnosti Banan a nahrávky byly uloženy na FTP serveru. Také Banga dostal e-mail od hackera s uvedenými přístupovými údaji, několik dní poté zjistil, že se po internetu šíří uniklé nahrávky. Souvislosti se tedy přímo nabízí. Přestože by někdy mohl hudebníkům takový předčasný únik nahrávek pomoci v propagaci, v tomto případě je ale pouze na škodu – nahrávky jsou rané demoverze, jedna z nich by měla být navíc ve finální podobě nazpívaná společně s Karlem Gottem.
Mohl to být jen další hack, který se prostě stal a přešel s omluvou, vysvětlením a zabezpečením bez velkého humbuku médií a naštvaných uživatelů. Jenomže není. Absurdita jednání zástupců společnosti vybízí k zamyšlení, zda nakonec nebylo cílem celou kauzu zveličit a s heslem „špatná reklama, taky reklama“ obsadit média. Ale tomu moc nevěřím… Když se k tomu přidají ještě spamové aféry, je to pro Banan.cz velmi nelichotivá vizitka. Jméno společnosti tak nepoškozuje ani tak hacker, jako ona sama.