Pozor na špatné zabezpečení: Babišův web omylem vystavil e-maily fanoušků

  18:17aktualizováno  18:17
Web chcemelepsicesko.cz, který patří politickému hnutí ANO, měl špatně zabezpečené odhlašování. Kdokoli si mohl - byť velmi nepohodlně - prohlédnout e-mailové adresy desetitisíců lidí. Správce webu po upozornění chybu opravil.

Web ChcemeLepšíČesko.cz obsahoval chybu v zabezpečení e-mailů odběratelů newsleteru | foto: Pavel Kasík, Technet.cz

Čtenář nás upozornil na velmi zajímavou ukázku děravého zabezpečení. Na webu chcemelepsicesko.cz (patří politické straně Andreje Babiše - ANO 2011), narazil na špatně navrženou stránku sloužící k odhlášení odběru e-mailů. V URL adrese bylo číslo, které zřejmě odpovídalo číslu daného registrovaného uživatele v databázi.

Protože adresa neobsahovala žádné další parametry (například jednorázový autorizační klíč nebo náhodný řetězec) a nevyžadovala ani žádné další ověření, mohl kdokoli odhlásit libovolné množství odběratelů. A co hůře, ve chvíli, kdy je kliknutím na tlačítko „Odhlásit odběr“ vyřadil ze seznamu, dozvěděl se i celou e-mailovou adresu tohoto fanouška, respektive odběratele newsletteru.

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Web chcemelepsicesko.cz obsahoval chybu zabezpečení

Chybu se nám podařilo replikovat na několika náhodně zvolených číslech. Podle všeho šlo o reálné adresy uživatelů. Pokud by si někdo dal trochu práce, mohl by zřejmě skriptem odesílajícím automatické požadavky takto získat e-maily všech odběratelů (a zároveň jim zrušit odběr).

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

Ukázka uniklých e-mailových adres. Stačilo změnit číslo v URL.

V podmínkách (nově upravených na základě GDPR) přitom provozovatel píše, že k osobním údajům „budou mít přístup pouze pověření zaměstnanci hnutí“ (myšleno Hnutí ANO 2011).

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Citace z podmínek používání webu, sekce „Nakládání s vašimi osobními údaji“

Provozovatele jsme na uvedené adrese gdpr@anobudelip.cz kontaktovali s dotazem, jak k chybě došlo a jak obtížné bylo ji opravit. Odpověď jsme zatím nedostali, pokud nám dorazí později, do článku ji doplníme.

Provozovatel webu již tuto chybu odstranil

Provozovatel nicméně po našem dotazu (není jisté, zda na základě našeho dotazu) web upravil tak, že už po odhlášení nejsou vidět e-mailové adresy. Současná verze webu již neobsahuje patičku, loňská verze webu uváděla: „Zadavatel ANO 2011 a zpracovatel Digital Wizards,“ odkazující na ostravskou digitální agenturu. Ta se ovšem od nového webu jednoznačně distancovala: „Přerušili jsme spolupráci s ANO, a práci přebrala jiná agentura. Ta náš web přepsala, a bohužel ne úplně vydařeně,“ uvedl Michal Čerbák ve zprávě redakci.

Jak se chovat bezpečně na internetu?

Tato celkem nevýznamná epizoda by měla sloužit hlavně jako varování pro začínající i zkušené webmastery. I zdánlivě nevýznamná funkce, jako je odhlášení odběru newsletteru, musí být chápána jako zabezpečená komunikace. A žádná akce uživatele (nebo dokonce návštěvníka webu) nesmí dát přístup k datům jiného uživatele. V tomto případě by stačilo zabezpečit odkaz na odhlášení newsletteru jednorázovým unikátním klíčem, ze kterého nelze vyčíst původní adresu. Tak je zajištěno, že se nikdo nedostane k e-mailovým adresám ostatních a nikdo nemůže snadno odhlásit od odběru někoho jiného, k jehož e-mailu nemá přístup.

Autor:

Nejčtenější

Tom Cruise: Vypněte funkci vylepšení pohybu na svých televizorech

DO KINA: Tom Cruise a Úžasňákovi budou znovu zachraňovat svět

Tom Cruise na svém twitterovém účtu nabádá filmové fanoušky k vypnutí funkcí pro vylepšení vykreslení pohybu při...

Vývoj evropské superstíhačky je na spadnutí. Není to příliš brzy?

Model letounu NGF na listopadové výstavě Euronaval v Paříži

Francouzská ministryně obrany Florence Parlyová na svém twitterovém účtu 20. listopadu oznámila dosažení shody s...

Exekutoři varují před vakce.net. I bez objednávky hrozí exekucí

Exekuce

I nedokončený nákup na e-shopu s velice levným zbožím může vést k soudní exekuci. Naštěstí jen smyšlené, jak se...

Raketa Falcon 9 neúspěšně přistála do moře, náklad ale letí dál k ISS

Nepovedené přistání Falcon 9

Porucha hydraulického čerpadla znemožnila přistání nosného stupně rakety Falcon 9. Přistál, či spíše spadl, do moře...

Žádná speciální jednotka se bez něj neobejde. Zkusili jsme noční vidění

Zkouška noktovizoru LPNVG (Low Profile Night Vision Goggle) s označením...

Neobešlo by se bez nich ani dopadení Bin Ládina. Brýle pro noční vidění používají speciální jednotky po celém světě....

Další z rubriky

Boj o 1. místo: Amazon na chvíli překonal Microsoft, ten před tím Apple

Ilustrační snímek

Celková tržní hodnota společnosti Amazon se minulý týden na chvilku dostala před hodnotu Microsoftu. Tato firma se...

Robot Amazonu dostal své lidské kolegy do nemocnice. Sprejem na medvědy

Roboti v nejmodernějších skladech Amazonu přivezou regály k lidem, a zrychlují...

Ve skladu americké společnosti Amazon došlo k futuristické nehodě. Autonomní robot při své „pochůzce“ prorazil...

V Japonsku spustili vysílání v rozlišení 8K, začali klasikou od Kubricka

NHK 8K Super Hi-Vision

V Japonsku začal vysílat první 8K televizní kanál, prvním celovečerním filmem vysílaným v obřím rozlišení byl 2001:...

Najdete na iDNES.cz