Nic není snazšího a ještě je to zábavné jako luštit hádanku. Jak to mohli tvůrci jednoho z největších českých freemailů dopustit?
Freemailové služby jsou nevděčná práce – to ví na Internetu každý. Neustále pracujete s cizími, privátními daty, neustále se objevují různé problémy se zahlcením schránek a přetížení serverů. Freemail ale i odměňuje: u tzv. portálů činí freemailové stránky velice slušnou porci zobrazených stránek a přispívají k vysoké pozici v žebříčcích, umožňují provozovateli čas od času „masírovat“ své registrované uživatele reklamou, případně také tyto reklamní vsuvky prodávat inzerentům. Investoři rovněž freemaily oceňují – v českých podmínkách se diskutují částky mezi stokorunou až tisícikorunou za jednoho „živého“, server pravidelně využívajícího uživatele při valuaci serveru.
Pojďme ale k tomu zajímavému: ukáži vám, že nabourat se do uživatelských účtů na jednom z nejčastěji využívaných freemailů u nás (podle našich statistik se dokonce jedná o tržní jedničku, mezi našimi 60 000 registrovanými uživateli Post.cz těsně vede) je snazší než snadné a ještě je to zábavná hra. Následuje ilustrovaný návod.
- Otevřete si Post.cz a zadejte do „Uživatelské jméno:“ nějaké jméno, které bude zaručeně použité. Zkuste křestní jméno a za ním nějaké číslo – třeba Honza1, Honza2, nebo projděte diskusní skupiny a odtud odchytnete spousty přihlašovacích jmen s příponou @post.cz. Jako heslo zadejte jakýkoli nesmysl, třeba asdfasdfSamozřejmě vás systém nepustí dál, ale zobrazí – a to je kámen úrazu – ihned následující obrazovku (viz příklad).
Hele…stačí zadat správnou odpověď na návodnou, tzv. „Kontrolní otázku“, a systém mě pustí dál? Je to možné? Jak ukazuje obrázek, stačí dávat dívčí jména – zadávejte a brzy se trefíte. Co následuje?
- Nechejte si ukázat správné heslo… nebo zadejte rovnou „přihlásit“. A jsme doma.
Můžete číst maily, odesílat, mazat, nebo nešťastné osobě třeba zrušit registraci.
Je to opravdu tak snadné? Je. Tvůrci Postu vymysleli coby pomoc uživatelů dokonalou medvědí službu. Chápu, že to byl jeden z prvních freemailů u nás a že jeho tvůrci vymýšleli funkce od píky – ale od té doby už uplynulo pár let, a i když se princip návodných otázek využívá při různých registracích často, způsob jeho využití v Post.cz je nejhorší, jaký může být.
Když se na Post.cz registrujete, vyžádá si systém zadání návodné otázky a odpovědi, říká jim „Kontrolní otázka“ a „Kontrolní odpověď“ – bez nich neuzavře registraci.
Při registraci vám není řečeno, k čemu bude tato otázka použita, a ani v nápovědě se o této funkci nepíše jediné slovíčko.
Vtip je v tom, že uživatelé volí logicky kontrolní otázku takovou, aby ho při jejím zobrazení automaticky trkla odpověď. A už je pochopitelně málokdy napadne, že by tato otázka mohla být zveřejněna komukoli, kdo přijde na Internet, a tudíž že odpověď může uhádnout každý.
Během půlhodiny jsem proběhl asi čtyřicet náhodně trefených uživatelských účtů a „trefil“ jsem se do deseti účtů. Typické otázky (a správné odpovědi) jsou:
- Dotaz: Máš motorku a psa? Odpověď: Ano
- Dotaz: Bagr. Odpověď: Bagruje
- Dotaz: Vidíš? Odpověď: Vidím
- Dotaz: Dneska. Odpověď: Zítra
- Dotaz: Heslo? Odpověď: Novak (uživatel měl v loginu jméno Novak)
A tak dál… v podstatě během čtyřicítky účtů jsem objevil
pouze jediný neodchytitelný a ten se ptal na rodné číslo.Provozovateli služby, kterým je dnes velká evropská telekomunikační společnost (notabene!), toho lze vytknout skutečně mnoho. Už dávno (ještě v CzechOnLine, či i v Globe Internet) se měl někdo chytit za hlavu a tuto funkci dát do pořádku. Případná odpověď, že „si za to mohou hloupí uživatelé“, zde naprosto neobstojí – především z toho důvodu, že při registraci si vůbec nejsou vědomi způsobu použití návodné otázky.
Další chybou je, že Post.cz mě (či kohokoli jiného) nechá beztrestně řádit a zkoušet zadávat třeba stokrát odpověď na návodnou otázku – to je proti typickým bezpečnostním pravidlům, která by mě (IP) měla po třetím neúspěšném pokusu odblokovat (nepovolený průnik). Další drobnou chybou je i to, že systém reaguje odlišně v případě špatného hesla a v případě špatného loginu; to jsou další pootevřená vrátka hackerovi. Vlastně jakému hackerovi: na účet člověka u post.cz se dokáže probourat za pár minut i takový lamer, jaký jsem já.
Jak v tomto postupují jiné freemaily? I u registrace u Seznamu, Emailu či Centra můžete zadat kontrolní otázku a odpověď, ale ne povinně. V případě, že ji u Centra zvolíte, se také při špatném přihlášení ihned ukáže: hlavně že na vás vedle bliká, že výhodou mailu na Centrum.cz je „absolutní bezpečí“ (raději bez komentáře). Pokud se kontrolní otázka u různých registrací (nemusí jít jenom o freemail) používá, bývá využita jinak: buď pro osobní pomoc pracovníků helpdesku, nebo před ní jsou ještě nastavěny další překážky: musíte například správně uvést některé další údaje z registrace, a až jsou zadány správně, pustí vás systém ke kontrolní otázce. Metoda kontrolní otázky je tedy v principu správná, ale způsob, jak s ní zachází Post.cz, je zoufale špatný.