Kauza TV Nova vs. Seznam.cz: adresář /www.servis24.cz/ u Modráka

V sobotu jsme vás informovali o reportáži TV Nova, která pojednávala o údajném hacknutí části databáze freemailových účtů společnosti Seznam.cz. Ještě v sobotu se tak objevila informace, že hesla nebyla ukradena přímo z databáze Seznamu, ale vysledována na jedné školní síti tzv. sniffingem.

Seznam vykraden!

Televize Nova přinesla ve svém včerejším večerním zpravodajství poměrně závažnou zprávu, která se týká velkého množství uživatelů bezplatné elektronické pošty – konkrétně uživatelů poštovních služeb portálu Seznam.cz. Podle zprávy došlo ke krádeži části databáze uživatelů freemailu. Odcizená jména a hesla několika desítek lidí se následně objevily na internetu a ještě nyní jsou tyto informace dohledatelné pomocí archivních funkcí vyhledávačů.

Společnost Seznam podle informací tiskové mluvčí o celém problému ví, prošetřuje ho a zvažuje možné právní kroky. Zveřejněné informace nejsou zřejmě smyšlené, při náhodných pokusech zvědavců dané kombinace opravdu fungují.

Seznam vykraden?

Otázkou však zůstává, do jaké míry se jedná o vykradení databáze Seznamu. Vzhledem k tomu, že provozovatel Seznamu není žádným amatérem na poli webových služeb, je více než pravděpodobné hashování hesel uložených v databázi. Případný útočník by tak mohl získat spíše jen "otisk" hesla, který by mu byl prakticky k ničemu. Odkud tedy vítr vane? Dle zveřejněného Seznamu ukradených účtů jde spíše o informace získané monitoringem nějaké větší lokální sítě, ze které se připojují uživatelé ke schránkám seznamu pomocí nezabezpečeného připojení. Formát zveřejněných dat je až nápadně podobný výpisu z volně dostupných snifferů.

Podle informací Novy zkoušel útočník i kombinace jména a hesel v internetových bankovnictvích uživatelů, což však není až tak pravděpodobné – jen málokdo si nastaví stejné heslo k emailu a k bankovnictví, navíc pro přístup k účtu u banky je často potřeba podstatně více informací a údajů, které těžko budou uschovávány v databázích Seznamu.

Nám se podařilo najít seznam lidí, na kterém figurují následující uživatelé:

  • Fazolkalistova
  • don.dorcha
  • zaja002
  • Denisa.body
  • paulis
  • niksmile
  • PKutickova
  • Burdovamia

Tito uživatelé by si logicky měli změnit heslo, aby se obsah jejich schránky nestal veřejným tajemstvím.

Reakce Seznamu

Reakce Seznamu a jejího ředitele Iva Lukačoviče na sebe nenechala dlouho čekat. Už v neděli ráno se na jeho blogu objevil příspěvek, který do celé reportáže vnáší pohled zainteresované strany. Jeho stanovisko je podobné tomu, které si mezitím utvořila věci znalejší internetová komunita.

V reakci je doslovně uvedeno „Žádný hacker nás nenapadl a žádnou DB hesel nám nikdo nevykradl...“ a jako zdroj hesel je uveden výše zmiňovaný sniffing, tedy odposlouchávání síťového provozu na vnitřní síti.

Místem, kde se toto odehrálo, je údajně jedna střední škola, kde uživatel Modrák chtěl tímto činem zapůsobit na svoji spolužačku. Až potud by se mohlo jednat o úsměvné konání jednoho chytrého kluka, kdyby ovšem soubor s pochytanými hesly nevystavil na webových stránkách svého poskytovatele připojení – ty, včetně obsahu, byly zaindexovány internetovým vyhledávačem a odtud byl už jen malý krůček ke skandálu, který rozpoutala televize Nova.

Uživateli Modrákovi bylo přisouzeno vloupání do databáze Seznamu, kde měl zcizit přístupové údaje uživatelů a tím tak vážně ohrozit jejich soukromí, včetně internetového bankovnictví.

Jedno je jisté, pokud se příběh „vykradení databáze Seznamu“ skutečně takto odehrál, nic mimořádně závažného se nestalo. „Hacker“ Modrák teď, podle své povahy, buď střídavě zelená a fialoví, nebo se naopak popadá smíchy za břicho. Sympatické je také to, že Ivo Lukačovič v prvním postu na svém blogu zmiňoval právní kroky proti tomuto uživateli, ve druhém už jen to, že kroky by měl podniknout spíše otec dotyčného kvítka – nejlépe řemenem.

Důkaz o nevykradení v samotné reportáži

Pokud jste se dostali ke zmiňovanému souboru s hesly, už z uváděných IP adres muselo být zřejmé, že celá „akce“ se musela odehrát na nějaké vnitřní síti (z důvodu uvedené IP adresy 192.168...). Tento výpis, včetně zmiňovaných IP adres se v jednu chvíli objeví také v záběru reportáže televize Nova. Pokud by redaktor dané reportáže byl věci znalý, jistě by věděl, že takový záznam nelze považovat za důkaz o vykradení databáze uživatelů Seznamu. To ale od novináře, který se na tuto oblast nespecializuje, čekat nelze.

Z průběhu celé kauzy a dostupných informací je zřejmé, že k databázím s informacemi uživatelů Seznamu žádný hacker přístup nemá. Ve druhé (nedělní) reportáži televize Nova uvedla, že našli další uživatelku, která své přístupové údaje k e-mailové schránce Seznamu nalezla na internetu. To se samozřejmě stát mohlo, ale protože není nic známo o pozadí tohoto případu, nelze jej dávat do souvislosti s případem „Modrák“.

Stín pochybnosti zůstává – adresář /www.servis24.cz/

Stín nad Modrákovým konáním přesto zůstává. Výpis souborů, které měl uložen na svém webhostingovém účtu totiž obsahuje i adresáře www.servis24.cz/stat a www.servis24.cz/ebanking-s24, přičemž minimálně ten druhý je používán v internetovém bankovnictví Servis 24 České spořitelny.

Z důvodu smazání uživatelova účtu již nejsou adresáře k dispozici, pohled do historie ve vyhledávači Morfeo ale odhalí, že adresář www.servis24.cz/ebanking-s24 obsahoval soubory dispatch.php, dispatcher.html, hesla.txt – co bylo jejich obsahem, nevíme. Podle názvu souborů by se ale mohlo jednat o webové stránky založené za účelem vyvolání dojmu, že se uživatel ocitl na přihlašovací stránce internetového bankovnictví Servis24.

Pokud by stránka obsahovala přihlašovací formulář ve stejné podobě jako je na stránkách Servis24.cz, neznalý uživatel by do něj snadno mohl zadat své reálné přihlašovací údaje pro internetové bankovnictví. Tyto údaje by se následně uložily do souboru (hesla.txt?), případně odeslaly na zvolený e-mail atd. Ať tak či onak, toto je už o dost závažnější sranda, než prosté chlubení se před spolužačkami. Přesto ale považujeme za korektní upozornit, že naše informace se zakládají na výpisu adresářů a souborů bez znalosti jejich obsahu. Nechceme v tuto chvíli poškozovat ani Modráka, ani kohokoliv jiného.

Diskuze (178) Další článek: Ke stažení: jedna plocha nestačí

Témata článku: , , , , , , , , , , , , , , ,