Kauza TV Nova vs. Seznam.cz: adresář /www.servis24.cz/ u Modráka

V sobotu jsme vás informovali o reportáži TV Nova, která pojednávala o údajném hacknutí části databáze freemailových účtů společnosti Seznam.cz. Ještě v sobotu se tak objevila informace, že hesla nebyla ukradena přímo z databáze Seznamu, ale vysledována na jedné školní síti tzv. sniffingem.

Seznam vykraden!

Televize Nova přinesla ve svém včerejším večerním zpravodajství poměrně závažnou zprávu, která se týká velkého množství uživatelů bezplatné elektronické pošty – konkrétně uživatelů poštovních služeb portálu Seznam.cz. Podle zprávy došlo ke krádeži části databáze uživatelů freemailu. Odcizená jména a hesla několika desítek lidí se následně objevily na internetu a ještě nyní jsou tyto informace dohledatelné pomocí archivních funkcí vyhledávačů.

Společnost Seznam podle informací tiskové mluvčí o celém problému ví, prošetřuje ho a zvažuje možné právní kroky. Zveřejněné informace nejsou zřejmě smyšlené, při náhodných pokusech zvědavců dané kombinace opravdu fungují.

Seznam vykraden?

Otázkou však zůstává, do jaké míry se jedná o vykradení databáze Seznamu. Vzhledem k tomu, že provozovatel Seznamu není žádným amatérem na poli webových služeb, je více než pravděpodobné hashování hesel uložených v databázi. Případný útočník by tak mohl získat spíše jen "otisk" hesla, který by mu byl prakticky k ničemu. Odkud tedy vítr vane? Dle zveřejněného Seznamu ukradených účtů jde spíše o informace získané monitoringem nějaké větší lokální sítě, ze které se připojují uživatelé ke schránkám seznamu pomocí nezabezpečeného připojení. Formát zveřejněných dat je až nápadně podobný výpisu z volně dostupných snifferů.

Podle informací Novy zkoušel útočník i kombinace jména a hesel v internetových bankovnictvích uživatelů, což však není až tak pravděpodobné – jen málokdo si nastaví stejné heslo k emailu a k bankovnictví, navíc pro přístup k účtu u banky je často potřeba podstatně více informací a údajů, které těžko budou uschovávány v databázích Seznamu.

Nám se podařilo najít seznam lidí, na kterém figurují následující uživatelé:

  • Fazolkalistova
  • don.dorcha
  • zaja002
  • Denisa.body
  • paulis
  • niksmile
  • PKutickova
  • Burdovamia

Tito uživatelé by si logicky měli změnit heslo, aby se obsah jejich schránky nestal veřejným tajemstvím.

Reakce Seznamu

Reakce Seznamu a jejího ředitele Iva Lukačoviče na sebe nenechala dlouho čekat. Už v neděli ráno se na jeho blogu objevil příspěvek, který do celé reportáže vnáší pohled zainteresované strany. Jeho stanovisko je podobné tomu, které si mezitím utvořila věci znalejší internetová komunita.

V reakci je doslovně uvedeno „Žádný hacker nás nenapadl a žádnou DB hesel nám nikdo nevykradl...“ a jako zdroj hesel je uveden výše zmiňovaný sniffing, tedy odposlouchávání síťového provozu na vnitřní síti.

Místem, kde se toto odehrálo, je údajně jedna střední škola, kde uživatel Modrák chtěl tímto činem zapůsobit na svoji spolužačku. Až potud by se mohlo jednat o úsměvné konání jednoho chytrého kluka, kdyby ovšem soubor s pochytanými hesly nevystavil na webových stránkách svého poskytovatele připojení – ty, včetně obsahu, byly zaindexovány internetovým vyhledávačem a odtud byl už jen malý krůček ke skandálu, který rozpoutala televize Nova.

Uživateli Modrákovi bylo přisouzeno vloupání do databáze Seznamu, kde měl zcizit přístupové údaje uživatelů a tím tak vážně ohrozit jejich soukromí, včetně internetového bankovnictví.

Jedno je jisté, pokud se příběh „vykradení databáze Seznamu“ skutečně takto odehrál, nic mimořádně závažného se nestalo. „Hacker“ Modrák teď, podle své povahy, buď střídavě zelená a fialoví, nebo se naopak popadá smíchy za břicho. Sympatické je také to, že Ivo Lukačovič v prvním postu na svém blogu zmiňoval právní kroky proti tomuto uživateli, ve druhém už jen to, že kroky by měl podniknout spíše otec dotyčného kvítka – nejlépe řemenem.

Důkaz o nevykradení v samotné reportáži

Pokud jste se dostali ke zmiňovanému souboru s hesly, už z uváděných IP adres muselo být zřejmé, že celá „akce“ se musela odehrát na nějaké vnitřní síti (z důvodu uvedené IP adresy 192.168...). Tento výpis, včetně zmiňovaných IP adres se v jednu chvíli objeví také v záběru reportáže televize Nova. Pokud by redaktor dané reportáže byl věci znalý, jistě by věděl, že takový záznam nelze považovat za důkaz o vykradení databáze uživatelů Seznamu. To ale od novináře, který se na tuto oblast nespecializuje, čekat nelze.

Z průběhu celé kauzy a dostupných informací je zřejmé, že k databázím s informacemi uživatelů Seznamu žádný hacker přístup nemá. Ve druhé (nedělní) reportáži televize Nova uvedla, že našli další uživatelku, která své přístupové údaje k e-mailové schránce Seznamu nalezla na internetu. To se samozřejmě stát mohlo, ale protože není nic známo o pozadí tohoto případu, nelze jej dávat do souvislosti s případem „Modrák“.

Stín pochybnosti zůstává – adresář /www.servis24.cz/

Stín nad Modrákovým konáním přesto zůstává. Výpis souborů, které měl uložen na svém webhostingovém účtu totiž obsahuje i adresáře www.servis24.cz/stat a www.servis24.cz/ebanking-s24, přičemž minimálně ten druhý je používán v internetovém bankovnictví Servis 24 České spořitelny.

Klepněte pro větší obrázek

Z důvodu smazání uživatelova účtu již nejsou adresáře k dispozici, pohled do historie ve vyhledávači Morfeo ale odhalí, že adresář www.servis24.cz/ebanking-s24 obsahoval soubory dispatch.php, dispatcher.html, hesla.txt – co bylo jejich obsahem, nevíme. Podle názvu souborů by se ale mohlo jednat o webové stránky založené za účelem vyvolání dojmu, že se uživatel ocitl na přihlašovací stránce internetového bankovnictví Servis24.

Klepněte pro větší obrázek

Pokud by stránka obsahovala přihlašovací formulář ve stejné podobě jako je na stránkách Servis24.cz, neznalý uživatel by do něj snadno mohl zadat své reálné přihlašovací údaje pro internetové bankovnictví. Tyto údaje by se následně uložily do souboru (hesla.txt?), případně odeslaly na zvolený e-mail atd. Ať tak či onak, toto je už o dost závažnější sranda, než prosté chlubení se před spolužačkami. Přesto ale považujeme za korektní upozornit, že naše informace se zakládají na výpisu adresářů a souborů bez znalosti jejich obsahu. Nechceme v tuto chvíli poškozovat ani Modráka, ani kohokoliv jiného.

Diskuze (178) Další článek: Ke stažení: jedna plocha nestačí

Témata článku: Televize Nova, Internetová televize, Stín, Přihlašovací stránka, Malý krůček, Kauza, TV +, Břicho, Kluk, Adresář, Seznam, Podobný krok, Velký kluk, Velký skandál, Zprávy televize Nova, Reakce


Určitě si přečtěte

Porovnání deseti cloudových disků: kam a za kolik uložit 100 GB, 1 TB a 10 TB dat?

Porovnání deseti cloudových disků: kam a za kolik uložit 100 GB, 1 TB a 10 TB dat?

** Zjistili jsme, kam do cloudu nejvýhodněji uložíte data ** Vytvořili jsme žebříček cen deseti cloudových úložišť ** Ceny se liší - často i velice výrazně!

Karel Kilián | 105

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Nejlepší aplikace na předpověď počasí: Kde nejlépe zjistit, co zrovna chcete vědět

Obecných aplikací na předpověď počasí je nespočet, jenže často skončí jen u základní informace o počasí a nenabídnou odpovědi na řadu praktických otázek. A tak jsme si položili právě několik takových otázek a hledali aplikace či meteoslužby, které nám nejlépe odpoví.

Karel Kilián | 4

Velký test televizorů v Computeru: i levnější značky překvapily kvalitou obrazu

Velký test televizorů v Computeru: i levnější značky překvapily kvalitou obrazu

** Jak funguje biometrické zabezpečení ve Windows ** Nejlepší správci hesel ** Létáme v Microsoft Flight Simulator

Časopis Computer | 5

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

** 8 služeb pro sledování leteckého provozu ** Nejznámější je Flightradar24, ale alternativy leckdy prozradí více ** Letadla i v této pohnuté době čile létají a je co pozorovat

Karel Kilián | 14

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

** Která klasická webová mapa se vám líbí nejvíce? ** Srovnali jsme šest velkých služeb v několika situacích ** Hlasujte v anketě

Jakub Čížek | 81

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

** Klasický malware pro PC už dnes nikoho nepřekvapí ** Bankomaty jsou ale také počítače ** Útočí se na ně dodnes

Jakub Čížek | 8

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

** Měsíc jsem se nedotkl Windows a byl závislý jen na Linuxu ** Jaká byla pozitiva a negativa přechodu? ** Se kterými aplikacemi jsem (ne)zápasil a které bych doporučil?

Lukáš Václavík | 245


Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk