E-mailové adresy zřízené na serveru Centrum.cz nejsou dostatečně chráněny a jsou lehce získatelné třetí osobou. Redakce Technet.cz má k dispozici jednoduchý skript, který po umístění na jakékoliv webové stránky odhalí e-mail návštěvníka přicházejícího ze stránek Centrum.cz.
Tímto způsobem je například možné přesně vyhodnocovat chování konkrétního uživatele, stopovat jeho pohyb na upravené webové stránce a následně mu posílat cílené reklamní e-maily.
Za normálních okolností nemá provozovatel stránek k informacím o e-mailu návštěvníka přístup. Řešení portálu Centrum.cz však prozrazení adresy umožňuje. Přiznává to i samotné Centrum.cz. „Systém kódování (hashovaní) je na službě email od úplného začátku provozu Centra. Použité řešení je originální a z mnohých pohledů neobvyklé. Při jeho tvorbě jsme v první řadě hleděli na bezpečnost. Proto se např. nepoužívají cookies, které jsou rizikem při použití počítače jiným uživatelem a podobně,“ vysvětluje jednatel společnosti NetCentrum Oldřich Bajer.
Právě nedostatečné kódování informací, jako je například přezdívka uživatele, je příčinou zmíněného problému. „Údaje o přezdívce, ze které je zjistitelná i e-mailová adresa, se přenášejí nešifrované přímo v adrese stránky,“ říká softwarový analytik Roman Neuhauser. Při přechodu mezi stránkami totiž prohlížeč mezi jinými informacemi serveru předává i adresu předchozí navštívené stránky - a v ní tedy i přezdívku uživatele.
Pokud je tedy majitel e-mailového účtu na Centrum.cz právě přihlášen a ze stránek Centra přejde na skriptem upravené stránky, jejich majitel okamžitě zná jeho e-mailovou adresu.
Konkurenční e-mailové služby popsaný způsob zneužití neumožňují. Systém při kterém je přezdívka přihlášeného uživatele v nezakódovaném tvaru přímo v adrese služeb webového rozhraní (v takzvaném refereru), je poměrně neobvyklý. U jiných českých freemailů se tato diskutabilní vlastnost nevyskytuje.
Seznam.cz a Atlas.cz sice trvalé přihlášení umožňují, ale uživatelské jméno v nekódované podobě nepředávají. A například portál Volný.cz při přechodu z emailu do vyhledávání uživatele automaticky odhlásí. Ani v jeho vnitřních adresách se uživatelova přezdívka v čitelném tvaru nevyskytuje.
Hrozí nebezpečí?
Centrum.cz problém bagatelizuje. „Nepovažujeme to za problém. Kdyby to problém byl, již bychom jej odstranili,“ odpovídá Oldřich Bajer na dotaz, zda riziko zneužití považuje za vážné. „V současnosti náš email používá již více než milion lidí. Od žádného z nich však nemáme zprávy či upozornění o nedovoleném vniknutí do schránky popsaným způsobem,“ doplňuje Bajer.
„Nejedná se o bezprostřední bezpečnostní problém, nicméně možnost zneužití zde je. Centrum.cz tímto způsobem může šířit e-mailové adresy svých klientů třetím stranám. Uživatelé pak mohou být vystavení nevyžádané poště, virům a podobně," upozorňuje na možná rizika Roman Neuhauser. Jako obranu proti možnému úniku adresy doporučuje Neuhauser včasné odhlášení ze služby e-mail před dalším pohybem po webu. Faktem však je, že většina uživatelů se při odchodu z e-mailové služby neodhlásí.
Další podrobné informace naleznete v tomto článku na Technet.cz. Zde si také můžete celý způsob zneužití vyzkoušet.
