Během včerejšího dne se v našem diskusním fóru rozběhla diskuze na téma bezpečnosti českého freemailu Centrum.cz.
O co se tedy přesně jedná? Nejde o bezpečnostní chybu, spíše o nevhodně zvolené spektrum informací, které jsou volně dostupné. Centrum.cz disponuje funkcí Moje Centrum, nabízející úvodní stránku přizpůsobenou konkrétnímu přihlášenému uživateli. Problémem je, že k načtení této stránky není potřeba vlastní přihlášení.
Pokud přímo do prohlížeče vložíte adresu http://moje.centrum.cz/~jmenouzivatele~/, bude vám zobrazena osobní stránka konkrétního uživatele. Na ní však kromě běžně dostupných informací naleznete celkový počet zpráv ve schránce, počet nepřečtených zpráv a celkový počet kreditů nasbíraných při brouzdání po stránkách Centrum.cz.
Při pokusu o přečtení pošty, či při pokusu o změnu nastavení se návštěvník dostane na stránku přihlášení, kde je nutná již znalost hesla. Pokud nechcete zpřístupnit případným nenechavcům výše uvedené informace, řešení je jednoduché. V záložce Nastavení osobní stránky vypněte zobrazování počtu emailů a počtu kreditů.
UPDATE: Podle informace od čtenáře v diskuzi, kterou jsme v zápětí ověřili, je při zobrazení osobní stránky možné utrácet kredity uživatele ve hře "jackpot". Uživatel tak může přijít o desítky či stovky naspořených kreditů.
Protože kredity jsou poměrně oblíbeným doplňkem e-mailových účtů na Centru (díky nim je možné navýšit kapacitu e-mailových schránek a získat slevu na další služby), stává se tato vlastnost lehkou formou bezpečnostní chyby.
Reakce Centrum.cz: Dobrý den, děkujeme za upozornění na problém s aplikací "Jackpot", náprava byla sjednána ihned po Vašem zveřejnění.
